Ⅰ. 이달의보안이슈 1. 악성코드 - Alureon 트로이목마 Win-Trojan/Alureon 트로이목마는이전부터알려진트로이목마로주로악의적인 DNS로변경하는악의적인기능을가지고있다. 이와함께생성되는 DLL 을통하여자신의변형이나안티바이러스종료그리고특정호스트로 DDOS 공
|
|
- 대원 순
- 6 years ago
- Views:
Transcription
1
2
3 Ⅰ. 이달의보안이슈 1. 악성코드 - Alureon 트로이목마 Win-Trojan/Alureon 트로이목마는이전부터알려진트로이목마로주로악의적인 DNS로변경하는악의적인기능을가지고있다. 이와함께생성되는 DLL 을통하여자신의변형이나안티바이러스종료그리고특정호스트로 DDOS 공격을수행하는트로이목마이다. 해당트로이목마는 9 월초국내일부고객들로부터발견, 보고되었으며치료가매우까다로운편에속하는악성코드이다 Alureon 트로이목마의감염경로는명확히밝혀지지않았지만인터넷익 스플로러의취약점또는 MS 취약점을이용하는다른악성코드 로부터다운로드된것으로추정된다. 또한이러한악성코드는 USB 형태의이동식디스크로자신을복제하는기능이있어알려진윈도우및 IE 취약점이해결된시스템에서도발견되고있다. Alureon 트로이목마는치료하기매우복잡한형태의악성코드로다음의 Native 함수를후킹한다. 이렇게하여 I/O Request Packet (IRP) 처리시가장우선권을갖도록하는데일부안티루트킷프로그램의진단기능을우회하는데사용된다. - IofCallDriver - IofCompleteRequest 그리고후킹된함수가무력화되지않게하기위해서자신의드라이버에서커널모드쓰레드를만들어재후킹하도록해둔다. 따라서악성코드를진단하기위해서는커널모드쓰레드를종료해야하는데기술적으로난이도가높으며일부시스템에서는종료시예기치못한오류가발생할수도있다. 은폐기법도사용되어있어커널모드쓰레드를종료하고은폐기법무력화를통해서만파일을진단및제거할수가있다. [ 그림 1-1] Alureon 트로이목마의 DDOS 관련문자열 2. 스파이웨어 - 정상프로그램으로가장한국산애드웨어정상프로그램으로가장한국산애드웨어 보안에가장취약한것은사람이다. 최근에사회적으로이슈가되고있는보이스피싱과유혹적인메일제목으로악성코드를유포하는등의위협들은모두사람이라는취약점을이용한것이라고볼수있다. 이렇듯악성코드를유포할때사회공학적기법을이용하는것뿐만이아니라악성코드가사용자 PC에설치된후사용자또는안티-바이러스에의한진단을회피하기위해사회공학적기법을사용해온것이어제오늘의일은아니다. 그러나최근에는국내악성코드제작자들도이러한사회공학적기법을보다과감하게사용하고있었다. 또한악성코드는자신이생성한 DLL 파일 2개를실행중인프로세스에인젝션하여자신의변형을다운로드하거나특정웹사이트접속시사용자계정정보와같은데이터를훔쳐암호화하여로컬드라이브에저장하기도한다. 그리고 DDOS 에이전트역할도수행할수있도록되어있는데발견당시에는특정온라인도박사이트를공격하도록설정되어있었다. 다음은바이너리에포함된관련문자열이다. [ 그림 1-2] 정상프로그램으로가장하는스파이웨어 세상에서가장안전한이름안철수연구소 01
4 해당스파이웨어 (Win-Downloader/KorAdware ) 는국산애드웨어를다운로드하는프로그램으로해당프로그램을실행하면적절한사용자동의절차없이윈도우시작프로그램으로등록되어재부팅시지정된 URL에접속하여다른프로그램을다운로드받은후실행한다. 위그림에서보는것과같이해당스파이웨어는유명 IT업체의프로그램이설치되는기본폴더에설치되며프로그램의아이콘모양과파일명이유명 IT업체의프로그램으로위장되어있어일반사용자들은별다른의심없이해당프로그램을보아넘겼을것이고악성코드제작자는바로이러한점을노렸던것이다. DNS의라운드로빈 (round-robin) 기능을악용한악성코드다운로드최근악성코드가실행될때마다서로다른프로그램들을다운로드하는스파이웨어 (Win-Downloader/ColorSoft ) 를발견했다. 이와같은증상만으로는특이할것이없지만, 해당악성코드가접속하는서버의 URL이동일했고접속한서버에서다운로드 URL을알려주는방식이아니었는데도매번서로다른프로그램을다운로드한다는것이특이했다. 이를좀더분석해본결과이러한동작이가능했던이유는 DNS의라운드로빈기능을악용한것이었다. 라운드로빈기능을제공하는도메인네임서비스 (DNS) 는하나의도메인주소에하나이상의 IP를등록하게되면 DNS 서버는라운드로빈방식 (RFC 1794 참고 ) 으로해당하는 IP 주소를순서대로나열하여응답하게된다. 이때사용되는라운드로빈방식은아래그림에서보는것과같이등록된 IP를순차적으로제공하게되는데이러한기능을악용해악성코드제작자들은봇넷서버를감추기위한목적으로도사용했었다. 서버와악의적인서비스를제공하는서버들의 IP들이등록되어있었고, 특정프로그램에의해지정된도메인에접속할경우 DNS의라운드로빈기능으로접속할때마다서로다른서버의 IP를부여받게된것이다. 결국, 사용자들이선택한정상적인서비스를제공하는프로그램에의해서도악성코드가감염될수있었던것이다. 3. 시큐리티 - 금융권트로이목마 Clampi 금융권트로이목마 - Clampi 미국라스베가스에서진행된블랙햇 (Blackhat) 보안컨퍼런스에서 SecureWorks 연구원에의해온라인뱅킹과웹사이트접속을위한사용자계정과암호를유출하는대규모의악성코드감염형태를발견하였다는보고가있었다. 이번시큐어윅스의발표에따르면발견된악성코드는온라인뱅킹과웹사이트사용자계정등의정보를외부로유출하며, 약 4600대의시스템에서감염된것으로추정했다. 이에사용된트로이목마는 Clampi라고불리며, 또는 Ligats, Ilomo라고불리우기도한다. 해당트로이목마의감염경로는윈도우즈기반의인터넷익스플로러및파이어폭스와같은웹브라우저의취약점을통해악의적인웹사이트에서유포된것으로파악하고있으며, 동유럽에위치한시스템으로탈취한정보를전송한다. [ 그림 1-4] Clampi 동작화면 이악성코드는 70 여개의국가, 1400 여개웹사이트에서 4500 여개이 상의악성코드가발견되었으며, 이는은행, 신용카드회사, 온라인카지 노, 소매사이트, 유틸리티, 광고네트워크, 주식중개, 모기지대출, 정부 [ 그림1-3] 하나의도메인에등록된 IP들그러나이번에발견된국내스파이웨어는악의적인행동을감추기위해사용한것으로판단된다. 스파이웨어가접속하는하나의도메인에정상적인서비스를하고있는 및군사포털등다양한사이트들이포함됐다. 이러한웹사이트를통해악성코드를배포하는형태는새로운형태는아니다. 이배포형태를살펴보면, ActiveX 취약점이나브라우저취약점또는특정어플리케이션의취약점을이용한공격코드를해킹한웹사이트에올려놓고, 악성코드가삽입되어있는사이트를접속할때사용자자신도알지못한채, 악성코드에감염되게된다. 02 ASEC Report _ Vol.9
5 악성코드에감염되게되면악성코드는정상적은 iexplorer.exe를실행하게되며, iexplorer을실행할때인자값으로공격코드를삽입하여, 방화벽을우회한다. 또한이러한 Clampi C&C 는모든외부인터넷과의통신을위해서버를오픈하며레지스터를암호화된데이터를등록하게된다. 이렇게등록된암호화된문자열은메모리에서복호화된데이터를찾을수있지만 VMProtect로인해분석을힘들게하였다. 그리고 Clampi 는안티바이러스엔진을회피하기위해디스크에실제파일을쓰지않고, 직접적으로레지스터에암호화된형태로저장하게된다. 그리고아래와같은함수를후킹하여정보를가로챈다 (SSL 포함 ) - HttpSendRequestA - HttpSendRequestW - InternetQueryDataAvailable - InternetReadFile - InternetReadFileExA 국내상황을보면, 금융권의접속은키로거방지를위해키보드보안프로그램이동작하도록되어있으며, 공인인증서및보안카드등을사용함으로, 외국보다는좀더안전한상황이긴하지만, 보안이되지않는사이트의경우는위험하므로그에충분히대비해야한다. 이러한공격에의한보안방법은윈도우즈업데이트및사용하는어플리케이션을주기적으로업데이트하여, 취약점에노출되는걸최대한으로줄이고, 알려지지않은취약점에대해서는미리차단할수있는사이트가드등을사용하여사전차단해야한다. Win32/Palevo.worm 을통한트래픽유발 2009년 9월 21일부터국내이슈가되기시작한 Win32/Palevo.worm 은다수트래픽을유발하여, 많은피해를주고있는상황이다. 해당악성코드는특정유해사이트와 UDP/5907 포트로 7바이트패킷을전송후 ( 사이트의 response가있는경우 ), 다량의네트워크트래픽을유발 (UDP Flooding 및 TCP/80 Flooding) 하는특징을갖고있다. 전송되는패킷이정형화되지않은형태로전송이되며, 변종이많이발생하고있어, 피해가더욱커지고있는실정이다. * Name: butterfly.sixxx.es, Address: 87.xxx * Name: qwertasdfg.sxxxp.es, Address: 74.xxx * Name: bfisback.xxxx.org, Address: 0.xxx.0.0 [ 접속 PORT] 5904/UDP, 5906/UDP, 5907/UDP 80/TCP ( 변종으로인해주기적변경 ) [File] 시스템루트 \RECYCLER\s [ 숫자 ] 에 sysdate.exe, Desktop.ini 파일생성. [Registry] HKLM\SOFTWARE\Microsoft\WindowsNT\CurrentVersion\Winlogon\Taskman C:\RECYCLER\S [ 숫자 ]\sysdate.exe HKEY_USERS\S [ 숫자 ]\Software\Microsoft\WindowsNT\ CurrentVersion\Winlogonshell explorer.exe,c:\recycler\s [ 숫자 ]\sysdate.exe 이러한악성코드를차단하기위해서는, 백신프로그램을최신업데이트버전을유지하는것이좋으며, 혹시악성코드에감염되어인터넷이안될경우에는또는그럴상황이되지않을경우에는아래와같이임시조치를하면된다. 1. Ice Sword를이용하여 RECYCLER\s [ 숫자 ] 경로로이동. 2. sysdate.exe 파일을찾아선택후마우스오른클릭을하여 [force delete] 를선택하여삭제 3. [ 시작 ]-[ 실행 ] 으로이동을하여 [regedit] 입력후 [ 확인 ] 4. HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon 해당경로에있는 Taskman 이란키값을찾아선택후마우스오른클릭후삭제 [ 그림1-5] Syn Flooding Attack 이악성코드가주요특징은다음과같다. [ 접속 URL] * Name: butterfly.bixxxey.biz, Address: 62.xxx 네트워크모니터링현황 지난 2009년 2분기까지지속적증가추세를보이던컨피커 (Conficker) 웜의피해규모도 3분기를맞이하면점차축소되는모습을보이고있다. 아래 [ 그림1-6] 상위 TOP 5 주요이벤트탐지그래프상에서도컨피커 (Conficker) 웜에서전파방법으로사용되는 MS MS Windows 세상에서가장안전한이름안철수연구소 03
6 NETAPI Stack Overflow 취약점이벤트가그최상위자리를내어주게되었다. 최근에는웹과애플리케이션관련공격의높은관심으로탐지이벤트항목에서도 MS 관련취약점에서주목할만한변화는없는것으로판단된다. [ 그림 1-8] 국가별공격발생지현황 5. 중국보안이슈 [ 그림1-6] 상위 TOP 5 주요탐지이벤트이번에는 [ 그림1-7] 그래프를통해포트별트래픽상황을살펴보자. 지난분기최상위에링크되어 80% 정도라는압도적분포를보였던윈도우 Netbios와관련 445/tcp 포트상의트래픽은여전히많은트래픽량을보여주고있으나, 그규모가다소축소되었음을확인할수있다. 반면, 80/tcp 포트상의트래픽량이 2배이상증가된점이주목할만하다. 중국 CNCERT 의 8 월웹사이트위변조사고동향보고서발표 중국대륙의보안위협과사고를총괄하는 CNCERT/C ㅊ에서 9 월 22 일, 8 월웹사이트위변조보안사고동향보고서를발표하였다. 최근봇넷을형성하여 80/tcp SYN 공격을수행하는악성코드들의이슈 가다시증가되는움직임을점으로본다면, 해당트래픽의증가에대해서 주의깊게살펴보아야할것같다. [ 그림 1-9] 중국 CNCERT 의 8 월중국내웹사이트위변조사고통계 CNCERT/CC 에서발표한이번보고서에따르면 8 월한달동안중국대 륙, 홍콩모두큰폭으로웹사이트위변조사고가감소하였다고하나대 만만유일하게증가를하였다. [ 그림1-7] 상위 TOP 5 포트별트래픽상황 [ 그림1-8] 그래프를통해국가별공격발생지현황을살펴보면, 변함없이상위 TOP 5에대부분이아시아권국가들이차지하고있다. 하지만, 지난분기까지상위 TOP 5 안에랭크되지않았던중국 (CN) 으로부터의공격트래픽이크게증가되어상위 2를차지한점을주목하여살펴보아야할것같다. 특히중국대륙의경우, 감소의폭이가장크며이번 8월에는총 3589건의웹사이트위변조사고가발생하여지난 7월과비교하여 1498건이감소한수치를보였다. 그외홍콩의경우 8월 34건이발생하여지난 7월과비교하여 14건이감소한수치이나대만의경우에만유일하게증가하여지난 7월과비교하여 243건이증가한 274건이발생하였다고한다. AhnLab TrusGuard 04 ASEC Report _ Vol.9
7 II. 이달의통계 1. 악성코드통계 9 월악성코드통계 [ 표 2-2] 월악성코드대표진단명 Top 10 [ 표2-1] 2009년 9월악성코드피해 Top 10 지난 6월부터 8월까지 3개월동안악성코드피해 Top 10에서 1위를차지했던 Win-Trojan/Banker D 가 9월에는 2단계하락하면서 3 위를차지하였다. 보통바이러스의라이프사이클대로라면 Win32/Induc는바이러스이므로 9월악성코드피해 Top 10 순위권에못들것으로예상했지만그예상을뒤집고전월보다피해건수가약 22배정도급격하게증가하면서 1 위를찾지했다. 그원인을찾기위해서 9월한달동안고객들로부터접수된 Win32/Induc관련문의와 V3제품의진단로그들을분석해본결과인터넷을통해서 Active X형태로설치되는툴바유형의프로그램들중에상당수가 Win32/Induc에감염된채로배포되고있었다는것에서원인을찾을수가있었다. 지금까지 ASEC 대응팀에서파악한 Win32/Induc 에감염된채인터넷상으로유포되었던프로그램리스트는 URL( core.ahnlab.com/32) 에서얻을수가있다. ASEC 대응팀에서는지속적인모니터링을통해서 Win32/Induc에감염된프로그램리스트를업데이트할것이다. 9월악성코드피해 Top 10에 Dropper/OnlineGameHack 를제외한나머지악성코드들간에연관성이있으며주로기업에서비교적많은감염보고가있었다. 특히 Win-Trojan/Alureon.xxxx, Win-Trojan/ TDSS.xxxx, Win-Trojan/Rootkit.xxxx등은백신의진단회피기법을사용하였기때문에새로운전용백신을개발하여배포했으며 V3에서도예방을위해서해당악성코드들을 Generic하게진단할수있도록 Gen함수를적용하였다. 전월악성코드대표진단명 Top 10에서 1위를차지했던 Win-Trojan/ OnlineGameHack이약 0.3% 감소로 1 단계하락하면서 2위를차지하였으며 Dropper/OnlineGameHack이 115건피해신고가접수되면서 9월의악성코드대표진단명 Top 10에재진입하였다. 이두대표진단명은같은목적을가진악성코드로보면되고피해건수를합치면그어떤악성코드대표진단명보다피해건수에서항상월등히높고특정온라인게임사용자의개인정보유출을목표로한다는점에서여전히사용자들에게위험한악성코드임을알수가있다. 기존바이러스라이프사이클의개념을깨며꾸준하게피해신고가보고되면서전월악성코드대표진단명 Top 10에서는 2위까지차지했던 Win32/Virut이 9월악성코드대표진단명 Top 10에들지못하였다는것인데이현상이일시적인것인지아니면지속될것인지는좀더모니터링할필요가있으며 Win32/Virut을대신하여 Win32/Induc이 9월악성코드대표진단명 Top 10에 4위에신규로진입하였으며이에대한원인은 9월악성코드피해 Top 10 에서언급하였다. Win-Trojan/Downloader 가전월보다약 6.2% 의피해건수가상승하면서 2단계상승으로 9월의악성코드대표진단명 Top 10에서 3위를차지했는데이는 Win-Trojan/Fakeav, Win-Trojan/Bredolab 가신규로진입한것과도연관성이있다. 9월한달동안 Win-Trojan/Downloader로접수되었고 Fakeav, Bredolab과관련된 Downloader를분석해보면해당악성코드의유포경로는 1. 웹해킹된사이트, 2. 스팸메일의첨부파일, 3. USB나이동식 HDD등의저장매체등으로요약할수있다. 그동안사용자들의보안의식이높아지면서스팸메일의첨부파일로유포되는경우그냥삭제하는하면서감염사례가적었지만웹해킹된사이트를통해서유포되는경우에대해서사용자들은거의무방비상태라할수있으며 Win-Trojan/Downloader 가사용하는취약점을살펴보면 ASEC이권장하는 MS IE 필수보안패치 Top 5 에언급된취약취약점들이었다. 세상에서가장안전한이름안철수연구소 05
8 ( -> 보안권고문에서볼수있다.) [ 그림2-1] 2009년 8/9월악성코드유형별피해신고비율비교 [ 그림 2-1] 에서보면 9월에도전월과동일하게트로이목마 > 웜 > 드롭퍼 > 바이러스 > 스크립트 > 유해가능프로그램 > 기타순으로피해신고가접수되었음을알수있다. 9월악성코드유형별피해신고비율도전월과유사하게특정악성코드유형에서눈에띄게큰폭으로증가했거나감소한현상은없었으며약 10% 이내에서상승이나감소가있었다. 그중에서 Trojan 이전월대비약 10% 정도의피해신고가상승하였는데이원인은 9월악성코드피해 Top 10과 9월악성코드대표진단명 Top 10 에서언급했으며이로인해상대적으로바이러스와웜에서하락한것처럼보여진다. 체 (USB, 외장형 HDD) 나시스템들간에동일한 ID와 Password를사용하는경우등을통해서확산될수있으며감염되면앞에서언급한부작용들이발생할수있다. 그렇다면이런악성코드의감염을최소한으로줄이기위해서는어떻게해야하는가? 가관건일것이다. Microsoft에서는정기적으로보안업데이트를릴리즈하고있으므로 Windows의자동업데이트기능을적극활용하여주기적으로보안업데이트를적용하며가능하다면기업의경우에는 PMS(Patch Management Server) 를도입하는것도좋은방법일것이다. 그리고정책적으로시스템들마다다른비밀번호를사용하도록그리고주기적으로변경하도록해야한다. 요즘뉴스를통해서접할수있는기업기밀유출사고를보면 USB같은이동식저장매체를통한기업기밀유출사례도끊임없이보고되고있고악성코드의확산경로도사용되므로가능하다면정책적으로 USB 같은이동식저장매체는사용을못하도록하는것이좋으며그것이여의치가않다면주기적으로이동식저장매체의안전한사용법에대해서교육을하는것도필요하다. 안철수연구소에서는지속적인모니터링을통해서 Win-Trojan/Alureon. xxxx, Win-Trojan/TDSS.xxxx, Win-Trojan/Rootkit.xxxx같이이슈가되는악성코드들에대한진단강화를위해서꾸준히연구및제품에반영을하고있다. 국내신종 ( 변형 ) 악성코드발견피해통계 9월한달동안접수된신종 ( 변형 ) 악성코드의건수및유형은 [ 표2-3], [ 그림2-3] 과같다. [ 표 2-3] 2009 년최근 3 개월간유형별신종 ( 변형 ) 악성코드발견현황 이번달전체적인악성코드는전월과크게다르지않는수치를보여줬 다. 트로이목마, 드롭퍼, 스크립트, 웜유형에서전월대비상승이있었다. [ 그림 2-2] 월별피해신고건수 [ 그림 2-2] 를보더라도크게달라진것은없으며 9월악성코드피해특징은스팸메일발송, DDoS, FakeAV, 은폐형기법을사용한백신의탐지및치료어려움등으로요약할수있으며이는예전부터꾸준히발생해왔던이슈들인데지금도유행하고있는원인이무엇인지생각해볼필요가있다. 표면적으로는악성코드제작자가금전적인이득을취하기위함인데그내면을살펴보면그렇게하기위해서는가능한많은시스템에악성코드를감염시킬필요성이있을것이고그에따라악성코드들은기존의 OS(Operating System) 에존재하는취약점보다는사용자들이가장많이사용하는응용프로그램 ( 대표적으로 Internet Explorer, PDF, Flash 등 ) 에존재하는취약성들을이용하게된것이다. 또한웹공격에취약한사이트와결합되면서파급효과는배가된다. 이후에는이동식매 [ 그림 2-3] 최근 3 개월간신종및변형악성코드분포 06 ASEC Report _ Vol.9
9 온라인게임의사용자계정정보를탈취하는악성코드유형의최근 3 개 월간추세는다음과같다. 전월대비 13% 감소하였다. 운로더다. [ 그림 2-4] 최근 3 개월간온라인게임트로이목마관련추세 2. 스파이웨어통계 9 월스파이웨어피해현황 [ 표2-5] 9월대표진단명에의한스파이웨어피해 Top10 [ 표 2-5] 은변형을고려하지않은대표진단명을기준으로한피해건수이다. 외산가짜백신을설치하는다운로더즐롭 (Win-Downloader/Zlob) 과다운로드로그페이크에이브이 (Win-Downloader/Rogue.FakeAV) 에의한피해가계속해서보고되고있으며피해의상당부분을차지하고있다. 국산애드웨어의경우특정웹사이트에서애드웨어프로그램을다운로드받아설치하는형태의애드웨어인다운로더라스트로그, 다운로더에이에스에프웨어의변형신고가많이접수되었다 년 9 월유형별스파이웨어피해현황은 [ 표 2-6] 과같다. [ 표 2-4] 2009 년 9 월스파이웨어피해 Top 10 [ 표 2-6] 2009 년 9 월유형별스파이웨어피해건수 7월 8월주춤하던다운로더류의피해가다시증가하고있다. 다운로더류의증가와함께전반적인스파이웨어피해현황이꾸준히증가하고있다. 9월스파이웨어발견현황 9월한달동안접수된신종 ( 변형 ) 스파이웨어발견건수는 [ 표 2-7], [ 그림 2-6] 와같다. [ 그림 2-5] 2009 년 9 월스파이웨어피해 Top 년 9월에는특정사이트에서다양한애드웨어를다운로드받는다운로더에이에스디웨어 (Win-Downloader/Asdfware ) 와애드웨어라스트로그 (Win-Adware/Lastlog ) 가가장많은피해를입힌것으로나타났다. 지난달에이어계속해서 Top 10에포함되고있는다운로더큐넘 (Win-Downloader/Qnum B) 역시특정사이트에서여러가지애드웨어를다운로드받아사용자의시스템에설치하는다 [ 표 2-7] 2009 년 9 월유형별신종 ( 변형 ) 스파이웨어발견현황 AhnLab V3 Internet Security 8.0 세상에서가장안전한이름안철수연구소 07
10 이번달에는원격코드를실행할수있는위험도가긴급취약점이많음으로반드시패치해야하며, 특히 IE와관련된취약점의경우악성스크립트에서자주사용하여패치가적용되지않았을경우심각한문제를일으킬수있다. 2009년 9월웹침해사고및악성코드배포현황 [ 그림 2-6] 2009 년 9 월발견된스파이웨어프로그램비율 9월신종스파이웨어류와드로퍼류는큰폭으로감소했다. 반면애드웨어는지난 8월감소하는듯했으나 9월에다시 177건으로지난 7월과유사하게신종 ( 변형 ) 스파이웨어가의신고가증가했다. 다운로더는 7월을기점으로꾸준히증가하고있다. 다운로더와애드웨어신종 ( 변종 ) 이많이발견되었으나, 스파이웨어류와드로퍼의신종 ( 변형 ) 이감소하면서전체적인신종 ( 변형 ) 의신고는지난 8월에비해감소했다. 3. 시큐리티통계 9월마이크로소프트보안업데이트현황 마이크로소프트로부터발표된이달보안업데이트는총 5건으로긴급 (Critical) 만 5건이다. [ 그림2-8] 9월침해사고발생현황 2009년 9월악성코드를위해침해된웹사이트의수와악성코드유포지의수는 127/7 로 2009년 8월의 127/7와비교하여동일한유포지와배포지수를나타내었다. 웹브라우저와관련된취약점이발표되지않은지금, 악성코드배포를위해현재가장널리사용되고있는취약점은 OWC10.Spreadsheet 취약점이다. 이취약점은다음과같은특징을가지고있다. var obj = new ActiveXObject( OWC10.Spreadsheet ); e=new Array(); e.push(1); 현재대부분의 Anti Virus 제품은이런형식을가진 HTML 문서를진단한다. 따라서사용자의시스템을이러한공격으로부터보호하기위해서는항상운영체제의보안업데이트를최신상태로유지하고 Anti Virus 제품을설치하여사용하여야한다. [ 그림 2-7] 9 월 MS 보안업데이트현황 4. 사이트가드통계 2009 년 9 월웹사이트보안요약 [ 표 2-8] 9 월에발견된취약점현황 [ 표 2-9] 9 월웹사이트보안요약 웹사이트를통한사용자의피해를막기위해안철수연구소가제공하 는인터넷보안무료서비스인 사이트가드 의통계를기반으로본 자료는작성되었다. 08 ASEC Report _ Vol.9
11 [ 표2-9] 은 2009년 9월한달동안웹사이트를통해발견된악성코드동향을요약해서보여주고있다. 사이트가드의집계에따르면 9월한달동안악성코드는 921종 322,550 건발견되었으며, 악성코드가발견된도메인은 610건, 악성코드가발견된 URL은 5,075건으로전반적으로지난 7월부터보였던증가세가 9월까지지속되고있다. 악성코드발견건수 322,550건은 8월 302,814건에비해 7% 정도증가한수치이다. 이는 2009년 9월에는특별히눈에뛸만한확산률높은악성코드가없었던점과전달에비해악성코드유형및발견도메인이소폭감소한것이악성코드발견건수의큰증가없이, 완만한증가세를유지하는주요원인으로보인다. 하지만, 악성코드는웹사이트를통해배포하는방식을지속적으로활용하고있으므로, 웹사이트보안에대한경계심을계속적으로유지해야될것으로보인다. 세부내용을보면다음과같다. 악성코드월간통계 악성코드가발견된도메인 [ 그림 2-11] 월별악성코드가발견된도메인 [ 그림 2-11] 는최근 3개월간악성코드가발견된도메인수의변화추이를나타내는그래프로 9월악성코드가발견된도메인은 610개로전월 853개에비해감소하였다. 악성코드가발견된 URL 악성코드발견건수 [ 그림 2-12] 월별악성코드가발견된 URL [ 그림 2-9] 월별악성코드발견건수 [ 그림 2-9] 는최근 3개월인, 2009년 7월부터 2009년 9월까지의악성코드발견건수의추이를나타내는그래프로 9월악성코드발견건수는 322,550건으로지난달에비해약 7% 증가하였다. [ 그림 2-12] 은최근 3개월간악성코드가발견된 URL 수의변화추이를나타내는그래프로 9월악성코드가발견된 URL 수는 5,075개로전월에비해감소하였다. 유형별악성코드배포수 악성코드유형 [ 그림 2-10] 월별악성코드유형 [ 표 2-10] 유형별악성코드배포수 [ 그림 2-10] 는최근 3 개월간발견된악성코드의유형을나타내는그래프 로지난 8 의 926 종에이어 9 월에 921 종으로소폭감소하였다. 세상에서가장안전한이름안철수연구소 09
12 [ 그림 2-13] 유형별악성코드분포 [ 표 2-10] 과 [ 그림 2-13] 은 9월한달동안발견된악성코드를유형별로구분하여발견건수와해당비율 (%) 를보여주고있다. 9월한달동안총 322,550개의악성코드가발견되었으며이중 Adware 류가 137,740개로 8월에이어서 1위를고수하였다. Trojan류는 43,928 개로 2위를차지하였으며, 3위는 Downloader류가 9,434개로 3위를차지하였다. 특이한점은 8월의 Adware류가 30.5% 로 1위를차지하였으나, 9월에는 42,7% 로 Adware류가 12.7% 나증가세를보였다는것이다. 이의주요원인으로는 Trojan 류가지난달에비해 14.5% 감소와국내 Adware류의증가가한몫을한것으로보인다. 대상은 *.exe, *.scr 확장자를가지는로컬드라이브내파일들을대상으로하고있어, 급격한확장을보이는바이러스이다. 하지만이러한바이러스는자신을전파시키는루틴이존재하지않아, 웹을통해감염된실행파일전파시키는방법을통해확산을돕는것으로보인다. 또한, 웹상에올린파일이, 이미바이러스에감염된파일을사용자가감염여부를모르고올림으로써, 감염이확산되는것으로보인다. 따라서, 사용자들은웹상에파일을올릴경우나, 다운받을경우에는꼭악성코드감염여부를확인하는습관이필요하다. 참고로, SiteGuard는안전한웹을지향하기위해파일감염여부를검사함으로, 사용시많은도움이될것으로보인다. 또한, 9월에는 8월과같이신규로 Top10 에진입한악성코드가 3건으로큰변동없이, 소규모의자리이동만보였으나, 전체적으로는 Virus류가 1위와 6위를함으로써, Torjan류와 Adware류로만구성되었던 Top10에서많은비중을차지하고있다. 끝으로, 사용자들은개인 PC의악성코드감염이웹을통해배포됨으로써, 다수의피해를일으킨다는것을유념할필요가있다. 7.7 DDoS를통해서도개인의 PC보안이안될경우대량의트래픽공격을발생시키는좀비 PC로악용될수있다는점과, 개인이웹에올리는바이러스에감염된파일이다른이의 PC에있는파일들을감염하여급격한확산을보일수있다는점을유념하여, 파일송수신시악성코드감염여부를꼭체크하는습관을생활화하여야겠다. 악성코드배포순위 [ 표 2-11] 유형별악성코드배포 Top 10 [ 표 2-11] 는 9월한달동안웹사이트에서사이트가드를통해확인된악성코드배포 Top 10을보여주고있다. Top 10에포함된악성코드들의총배포건수는 248,717건으로 9월한달총배포건수 322,550건의약 77% 에해당된다. [ 표2-11] 유형별악성코드배포수에서알수있듯이 Top10 의대부분은 Adware류와 Trojan 류가차지하였다. 특이한점은꾸준히 Virus류가증가하고있으며, Win32/Induc과 Win32/Virut.B가 Top10에포함되었다는점이다. Win32/Induc은 Delphi 컴파일러가설치된시스템 (Delphi4~7) 의 SysConst.dcu (Delphi 상수및문자열정의라이브러리 ) 파일만을감염시키는바이러스로써국내델파이로제작된응용프로그램들의감염사례가많이보고되고있다. Virut.B는윈도우실행파일을감염시키는바이러스인데, 이바이러스는시작실행시점불명확화기법을사용하여실행파일을감염시키는방식을취한다. 특히감염 AhnLab Policy Center ASEC Report _ Vol.9
13 III. 분기별보안이슈 1. 악성코드 3분기이슈 3분기악성코드통계 [ 표 3-1] 3분기악성코드피해 Top 10 [ 표 3-1] 은 3분기 (7 ~ 9월 ) 의악성코드피해 Top 10을분석한자료로 Win32/Induc이 46% 로다른악성코드보다월등히높은점유율을차지하고있는데그원인은 8, 9월 ASEC Report에서밝힌바있기때문에여기선생략하기로한다. Win-Trojan/Ban-ker D 가 3분기 7 ~ 8 월동안악성코드피해 Top 10에랭크되었던것을제외하면나머지악성코드들은월별악성코드 Top10 과 1, 2분기악성코드피해 Top 10에서꾸준히새로운악성코드로갱신되었음을알수가있다. 이는백신업체의빠른대응으로짧은시간내에수많은신종또는변종악성코드의생성및소멸등이반복되면서악성코드의라이프사이클이매우짧아졌기때문인것으로풀이된다. 9월악성코드피해 Top 10에서 Win-Trojan/Banker D 가 2단계하락하면서 3위를차지하긴했지만이것이꾸준히월별악성코드 Top 10 에랭크될지아니면 10월부터는 Top 10 순위권밖으로밀려날지에대해서는좀더지켜봐야할것같다. [ 표 3-2] 는 2009년 3분기 (7 ~ 9월 ) 악성코드대표진단명 Top 10을분석한자료인데대표진단명의전체적인분위기에서큰변화는없었다. 10위에랭크된 Win32/Induc을제외한나머지악성코드들은금전적인이득을취하기위해서제작된것들로 Virut의경우 Winlogon.exe에자신의코드를인젝션시켜서특정 IRC 채널로접속하여다른악성코드를다운로드하여설치하는증상을가지고있었으며치료가까다로운바이러스중에하나이며 Win-Trojan/Downloader, Win-Trojan/Fakeav, Win- Trojan/Rustock 같은악성코드와함께웹해킹된사이트를통해서유포된사례가다수발견된적도있었다. 현재 Win32/Virut의확산분위기는잠시소강상태로접어들면서 9월악성코드피해 Top 10에서순위권밖으로밀려났지만변종의등장가능성이높기때문에 Win32/Virut에의한꾸준한피해신고가증가또는하락할것인지는좀더지켜볼필요가있다. Win32/IRCBot이 5.8% 를점유하면서 7위에랭크되었는데현악성코드트렌드가국지성, 금전적인이득목적을지향하고있다는것을감안할때월별악성코드피해통계처럼분기별악성코드피해건수에서 Win32/ IRCBot의피해건수가주는의미는크지않다. 그러나 IRCBot의대부분이 OS의취약점을사용한다는점을감안할때만약신규로발견된 OS의취약점을 IRCBot이사용하여유포된다면확산력은그어느악성코드보다빠르고크므로 Windows Update 사이트에서주기적으로보안업데이트점검을해주는것이필요하다. 3분기대표진단명에서각각 2, 6위를차지한 Win-Trojan/OnlineGame- Hack과 Dropper/OnlineGameHack 그리고 Win-Trojan/Magania는진단명에차이가있을뿐동일한목적을가지고있는악성코드이다. Win-Trojan/Agent로진단되는악성코드들중에는드라이버형태 (SYS) 로설치되며은폐형기능을사용하여동작하면서감염된시스템을통해서외부로스팸메일을발송하는증상을가지고있는것들도상당수존재하기때문에이에대한 Gen함수제작과진단및치료기능을강화할필요성이있다. [ 표 3-2] 3 분기악성코드대표진단명 Top 10 [ 그림 3-1] 3 분기악성코드유형별비율 세상에서가장안전한이름안철수연구소 11
14 [ 그림 3-1] 은 3분기 (7 ~ 9월 ) 의악성코드유형별비율을분석한자료로써월별악성코드유형과비교했을때크게달라진것은없고마찬가지로 Trojan 이월등히높은비율을차지하고있으며 Dropper, Virus, Worm, Script, 유해가능프로그램, 기타순으로정리해볼수있다. 3분기악성코드동향에서도현재악성코드들이유포되기위해서는 OS취약점보다는사용자들이가장많이사용하는응용프로그램의취약점을사용한다는것을알수가있었다. 여러경로로확산되는악성코드를 100% 완벽하게차단할수는없겠지만기본이면서가장중요한자신이사용하는 OS(Operating System) 의보안업데이트를주기적으로해준다면악성코드로부터약 90% 이상감염은예방할수있다. 그리고여기에주기적으로비밀번호변경및관리, 수상한메시지및메일수신시열람하지말고바로삭제, 최신엔진으로업데이트된백신으로주기적인검사를해준다면악성코드감염예방은더높아질수있다. 2009년 3/4 분기신종및변형악성코드동향 7월초일명 7.7 DDoS 대란 이라고불리어지는 DDoS 공격을우리나라와미국이각각받았다. 우리나라의경우는잘알려진공공기관과금융권의인터넷뱅킹사이트그리고보안업체홈페이지들이정상적인웹서비스를할수없는정도로심각한공격을받았다. 이것은공공웹서비스를공격한초유의사건으로연일매스컴에대서특필되었다. 공격에사용된악성코드는오래전부터유포되었던것으로보인다. 또한해당악성코드는모듈화되어각각기능을수행하도록제작됐으며최후에는감염된시스템을파괴하도록되어있었다. 스팸봇과가짜백신 (Win-Trojan/SpamBot / Win-Trojan/Fakeav) 은올한해계속이슈가되고있다. 이번분기에는허위 UPS 운송장메일이나온라인구입발송메일등으로위장하여유포되었다. 스팸봇의일부는시스템파일을감염시켜서치료를어렵게만들고계속적으로스팸메일을발송하도록시스템을장악하는행위도보였다. 가짜백신또한사용자들에게마치자신의시스템이문제가있는것처럼속이고치료를위해서결제를유도하도록하여금전적인피해도입히게한다. Win32/Induc 바이러스는프로그래머를혼란에빠뜨린바이러스로이번분기에다소이슈가되었다. 해당바이러스는실행파일이아닌델파이라는프로그래밍도구가설치된시스템에있는특정파일을감염시킨다. 해당파일은델파이프로그래머가파일을빌드할때마다함께만들어져새롭게컴파일된파일을감염시킨다. 따라서일반사용자가감염된파일을실행하여도특이한증상은발생하지않는다. 다만프로그램머는새로운파일을컴파일할때마다바이러스에감염된파일을만들어내는꼴이되고이를다시사용자에게배포하는등의악순환을반복하게된다. 따라서궁극적으로델파이프로그래머라면자신이감염되어있는지를백신프로그램을이용하여확인해보고치료를한후이전에배포된파일은삭제하도록권고하는게좋다. 3분기에는크게다음과같은제로데이취약점이보고되었다. - 마이크로소프트 MPEG2TuneRequest 제로데이취약점주의 - 마이크로소프트 OFFICE WEB Components(OWC) 제로데이취약점 - 어도비플래쉬플레이어및아크로벳리더코드실행제로데이취약점취약점은일반적으로악성코드유포에사용되는데특히제로데이취약점은타겟공격에집중적으로사용된다. 또한최근취약점은 OS 와같은운영체제의취약점을노리기보다는대중적으로유명한응용프로그램의취약점을노리는형태로변화하고있다. 이는비정기적으로보안패치를제공하는허점을노리는것으로파악된다. 2. 스파이웨어 3분기이슈 2009년 3분기통계 [ 표 3-3] 2009년 3/4분기까지발견된신종및변형스파이웨어건수 [ 그림 3-2] 2009년 3/4분기까지발견된신종및변형스파이웨어건수그래프 2009년 2/4분기에는가짜백신을설치하는다운로더류의증가로신종및변형스파이웨어발견건수가급격하게증가했다. 다운로더류의변형은 6월부터급격하게감소해 7월에는 751건으로줄었다. 이것은가짜백신을설치하는외산다운로더류의배포패턴이웹사이트로유인해다운로더를설치하도록유도하는방법에서유형에서메일이나다른악성코드에의해감염되도록하는방식으로변경되었기때문으로추정된다. [ 그림 3-2] 에서 3/4분기는 2/4분기보다는신고된신종및변형악성코드의수가작았으나 1/4분기에비해서는그수가증가했으며꾸준히증가하는양상을보이고있다 12 ASEC Report _ Vol.9
15 2009 년 3/4 분기까지의스파이웨어피해현황 큐리티 (Win-Downloader/Rogue.SystemSecurity) 등이 Top10에등록되어외산악성코드에의한피해는 3분기역시많은피해를주고있음을알수있다. 외산가짜백신과관련된스파이웨어를제외한경우다운로드라스트로그 (Win-Downloader/LastLog), 다운로더에이에스디에프웨어 (Win-Downloader/Asdfware), 다운로드코애드웨어 (Win-Downloader/ KorAdware) 처럼웹사이트에서설치될애드웨어목록을받아여러가지애드웨어를설치하는국내제작다운로더가많은피해를주고있는것으로나타났다. 3 분기신종및변형스파이웨어발견현황 [ 표 3-4] 2009년 3/4분기까지의유형별스파이웨어피해현황 [ 그림 3-3] 2008년, 2009년스파이웨어피해현황비교 [ 그림 3-3] 는 2008년, 2009년스파이웨어피해현황의비교그래프이다. 2/4분기에는다운로더계열의스파이웨어피해가급증했으나, 3/4분기에는외산가짜백신의주된배포경로가변경되면서다시전년도와비슷한패턴으로꾸준한상승세를이어가고있다. [ 표 3-5] 2009년 3/4분기대표진단명스파이웨어피해 Top10 [ 표 3-5] 은 3/4분기에신고되어진단추가된스파이웨어중변형을고려하지않은대표진단명에의한피해 Top 10을나타낸다. 전체파일신고의 38.4% 에해당하며가장많은피해가접수된스파이웨어는다운로더로그페이크에이브이다. 외산가짜백신설치를유도하는것으로알려진다운로더즐롭 (Win-Downloader/Zlob), 스파이웨어크립터 (Win-Spyware/Crypter) 나직접적으로가짜백신을설치하는시스템시 AhnLab 분석정보를도용하는가짜백신최근국내의가짜백신중일부가 Ahnlab.com에등록된분석정보를이용해진단시그니처를생성하고, 자신들의홈페이지에도직접분석한정보인것처럼등록하는경우가확인되었다. Ahnlab.com에등록되는스파이웨어정보는 ( 주 ) 안철수연구소의분석가에의해생성되는귀중한자산으로이러한정보를도용해자신의시그니처를제작하는것은심각한저작권의침해라고볼수있다. 이들가짜백신업체가분석정보를도용할때에는자동화된방법으로정보를긁어가는것으로보인다. 등록된분석정보중에는정상파일에대한정보도포함하고있기때문에정보를도용시정상파일에대한정보를구분하지않는다면정상파일을오진해시스템에심각한문제를일으킬수있는잠재적인위험이항상존재한다. 은삭제하도록권고하는게좋다. 무료프로그램에의한감염피해최근무료프로그램의종류가다양해지고있으며, 유료프로그램못지않은기능을자랑하는프로그램들이등장하고있다. 많은무료프로그램이사용자에게유용한기능을제공하면서광고나번들프로그램설치와같은방법으로수익을추구한다. 일부무료프로그램들은사용자몰래다른프로그램을설치하거나시작페이지를변경하는등의동작을한다. 일부악의적인무료프로그램을설치하는경우사용자가원하지않는프로그램이지속적으로설치되거나원하지않는웹사이트가시작페이지로고정되어임의로변경할수없는피해를입을수있다. 지난 3/4분기에는국산무료프로그램인 OO소프트에서무료TV, 동영상코덱등의다양한프로그램을제작하고배포하면서제공되는기능외사용자동의없이다른프로그램을설치하는기능을가진다운로더컬러소프트 (Win-Downloader/ ColorSoft) 를함께설치하는것이확인되었다. 중국에서제작한 AcuaDoc 설치프로그램은 Mac OS에서제공하는 Dock프로그램을제공하면서다양한방법으로시작페이지를고정했다. 이렇게고정된시작페이지는 Windows 버전과와시작메뉴의형식에관계없이윈도우에서제공할수있는거의모든방식을각각이용해시작페이지를변경하기때문에일반사용자입장에서수동으로복구하는것이불가능하다고말할수있다. 도배프로그램을통한개인정보유출가능성네이버매시버 (Naver Massiver) 프로그램은많은도배프로그램중하나이다. 도배프로그램은일정주기로게시판, 또는채팅창에글을올리는 세상에서가장안전한이름안철수연구소 13
16 프로그램을말하는데, 주로광고나지속적으로특정한문장을웹사이트등에등록하기위해서이용된다. 네이버메시버의경우 DNS를초기화하고방화벽을비활성화하며, beep.sys파일을수정하고보안제품을강제로종료하는등의스파이웨어적기능을수행한다. 또한, 사용자의계정을수집하는기능까지포함하고있기때문에 개인정보유출가능성 이매우높기때문에개인적호기심으로네이버매시버에자신의계정을입력한사람은노출된계정의암호를변경하는것을권장한다. 3. 시큐리티 3 분기이슈 2009년 3분기마이크로소프트사로부터발표된보안업데이트는총 27 건으로작년에비해보안업데이트수가조금증가하였으며, 발표된취약점들의공격코드가인터넷에잇단발표됨에따라공격에활용될가능성이크다 TV는사랑을싣고 ~, 메일은취약점을싣고 ~ 메일에실어보낸취약점을통해사용자시스템을공격하는사례로과거메일을통해전파되는악성코드가 Love~, Bank~ 등의일상적인키워드를포함하여사람들의클릭을이끌어냈다면, 최근에는실시간으로발생하는전세계적핫이슈를그제목으로삼아서보다공격성공률을향상시켰다. 이러한공격에사용된메일은 신종인플루엔자, 에어프랑스 447편의추락, 마이클잭슨사망 으로 0-day( 제로데이 ) 취약점및최신취약점들과결합된사회공학적공격으로이뤄지고있다. 비단, 이러한사회공학적공격기법은메일뿐만아니라대중성을갖는메신저, 트위터및동영상클릭을통한전파등다방면에서사용자를노리고있다. 또한, 앞서언급된예들이대부분영문으로작성되어있다고해서해외사례라고만여겨질수있지만, 국내에서도국내핫이슈를기반으로한악의적인 PDF 파일이전파된사례가있다. 7.7 DDoS 공격패킷분석 국내주요웹사이트에대해 7월 7일 DDoS 공격이발생하였다. 이번 DDoS 공격패킷은무엇이발생하며, 주요방어책에대해서살펴보기로한다. 먼저 7.7 DDoS 공격은 TCP, UDP, ICMP 프로토콜을이용하여, 특정웹사이트들 ( 멀티도메인 ) 을공격하도록설계되었다. 공격패킷들의주요특징은아래와같다. - 감염 PC 에서극도의패킷을유발하지는않음. 초당 300 개이내의패킷으로데이터양이크지않음 [ 그림 3-4] 2009년 2분기보안업데이트현황 2009년 3분기마이크로소프트보안업데이트현황 2009년 3분기시스템취약점 (MS08-067) 을이용하는 Conficker 웜의등장으로웹공격보다는시스템쪽으로방향을전환하는것처럼보였으나, Gumblar(Geno), Beladen, Nine-ball 이라는이름으로다시웹공격이눈에띄게증가하고있다. 다만, 과거 Mass SQL-Injection 공격이최초의악의적인스크립트를삽입하는방법과같은획기적인변화로주목을받았다면, 최근웹공격들은최종목적지를구축하기위해 LuckySploit, UniquePack, YES EXPLOIT SYSTEM 과같은다양한웹공격툴킷이사용되었다. 툴킷들은가장최신의취약점들을담고있을뿐아니라, 서버 / 클라이언트간의키교환을통한동적페이지생성및진보된난독화등으로훨씬더강하게무장되었다. 또한사용자및분석가의눈을피하거나분석을방해하기위한노력들이점점발전되고, 과거특정대상만을노렸던수동적인방법에서벗어나보다지능화되고자동화된방법으로다수의대상을노리는등점점지능화되어가고있다. 따라서, 사용자들은제품벤더로부터제공되는보안업데이트를항상적용하고, 다양한보안제품이최신버전으로유지되도록노력해야할것이다. - HTTP 에임의의데이터를전송하는트래픽이가장많이전송되며, ICMP, UDP 도 10-15% 수준에서차지함 - HTTP > ICMP > UDP 프로토콜순서로트래픽을많이발생시킴 - HTTP 가약 70% 대, ICMP 가 12-20%, UDP는 6-8% 수준에서발생 - 평균전체발생시키는트래픽은초당약 / 초, 약 50-65K / 초이번 DDoS 공격들에서문제가된것은대부분 TCP 80 HTTP 공격이었는데, 트래픽으로인해국내웹사이트들이지연또는마비되는문제가발생을하게되었다. Adobe PDF & Flash Zero-day 취약지난 7월 23일해외특정사이트에서 Adobe 사의 PDF Acrobat Reader 와플래시플레이어의알려지지않은제로데이취약점이발견되었다. 해당취약점은공격자가특정코드를실행시킬수있는취약점들로, PDF 및 Flash 파일포맷의특정오브젝트를해석하는과정에서유효값검증을제대로하지않아발생한다. 해당취약점을이용하는방식은 Flash 파일을 PDF 파일에삽입하거나웹페이지를통해호스팅하는 2가지방법이이용된다. Adobe 사에서는 7월 30일플래쉬관련취약점을제거하는보안패치를발표하였는데, 인터넷사용에서 Flash 는필수임으로, 즉각적인패치 14 ASEC Report _ Vol.9
17 가요망된다. ISC Bind Dynamic Update Dos 7월말일부 ISC Bind(named) 9 버전에서특정조작된 Dynamic Update 쿼리를요청시에서비스거부취약점이발견되었다. Dynamic Update 설정이기본 (Default) 설정에서 Off 이긴하지만해당기능을해제하더라도영향을받기때문에매우치명적이다. 4. 중국 3분기악성코드동향 2009년 3분기중국악성코드동향 2009년도이제 3개월정도가남은가을로접어든시점에서중국내악성코드동향은 2분기의현상유지상태에서벗어나조금씩새로운악성코드의감염시도가증가하고있는것으로분석된다. ISC BIND는 DNS(Domain Name Service) 에대부분이용이됨으로, 해당취약점의영향이크다고볼수있다. DNS는 Internet의구조상근본이되는서비스임으로, 즉각적인보안패치가필요하다. Dynamic Update 기능은 BIND 8 버전이후로지원되며, Zone 파일의레코드를동적으로갱신할수있는기능인데, 일반적으로 Dynamic DNS 업체또는 Master 와 Slave 사이의통신에서주로이용된다. 해당취약점으로공격시 Bind 데몬 named가중지 (Denial Of Service) 됨으로 DNS가마비될가능성이있어매우위험하다. 보안패치는 ISC 홈페이지 ( 에서업데이트하거나각 OS 벤더홈페이지를이용하여패치작업을수행할수도있다. 트위터를이용하는봇넷미국시각 8월 13일미국의네트워크보안업체인아르보 (Arbor) 는, 소셜네트워크서비스 (Social Network Service) 인트위터 (Twitter) 를이용하여악성코드에감염된좀비 (Zombie) 시스템들의네트워크인봇넷 (Botnet) 을컨트롤하는명령어를송신하는것이발견되었다고알렸다. 공격자는명령어들을베이스64(Base64) 로인코딩하여자신이생성한트위터계정에올려두고, 악성코드에감염된좀비시스템들은해당트위터계정에 RSS(Really Simple Syndication) 형태로접근하여명령어를전달받도록되어있다. 앞으로는트위터뿐만아니라 RSS등과같이손쉽게메시지를전달받을수있는형태를제공하는다른 SNS 서비스나블로그등온라인상에서손쉽게개설할수있는서비스들을이용한봇넷컨트롤방식이나타날수있을것같다. 리눅스커널 sock_sendpage() NULL Pointer Dereference 취약점지난 8월 13일대부분의리눅스커널 ( 이전, rc6 이전 ) 에적용가능한심각한취약점이발표되었다. 해당취약점은 sock_sendpage() 함수에서사용하는 proto_ops 구조체의초기화가제대로진행되지않은상태에서널포인터를참조함으로써발생한다. proto_ops 구조체는시스템에영향을줄수있는여러가지함수들의포인터를가지고있기때문에해당취약점을이용하여시스템을재부팅시킨다거나특정한명령을실행시킬수있으며일반사용자가 root 권한을획득하는것이가능하다. 이러한공격에대비하기위해서는운영체제커널의최신패치와관련된서비스들의취약점제거, 사용자계정들의안전한패스워드사용등의꾸준한노력이필요하다. [ 표 3-6] 2009년 3분기 AhnLab China 악성코드 TOP 년 3분기안철수연구소의중국시큐리티대응센터 (ALC ASEC) 로접수된악성코드감염피해보고에따라집계한악성코드 TOP 10이다. 이번 3분기에가장큰변화가나타난악성코드는 Swizzor 트로이목마이다. Swizzor 트로이목마는 2009년 1분기에전체 2.96% 의점유율을보이며 5위로순위에진입하여 2분기현상유지상황을거친후 3분기에는 4계단이나급격하게상승하여 1위를차지하였다. Swizzor 트로이목마는불법소프트웨어공유사이트등을통해감염되는사례가많음으로잘알려지지않은웹사이트를통해소프트웨어를다운로드및설치하는경우에는특히나주의가필요하다. 그리고이번 3분기에는새로이악성코드 TOP 10에포함된악성코드는지난 2분기보다 2개가더증가한총 4개로 Zbot, Obfuscated, Fraudload와 Fakealert 트로이목마들이다. 이중에서는전세계적으로많은문제가되고있는웹브라우저의취약점을통해악성코드를자동으로유포하는웹익스플로잇툴킷 (Web Exploit Toolkit) 의한종류인제우스 (Zeus) 에의해조종되는 Zbot 트로이목마가중국악성코드 TOP 10에포함되었다는점에주목할필요가있다. 현재까지 Zbot 트로이목마는 허위마이크로소프트오피스업데이트패치메일, 허위신용카드결제메일 과 허위세금고지메일 등으로위장하여전자메일을통해유포되고있다. AhnLab SiteGuard Pro 세상에서가장안전한이름안철수연구소 15
18 [ 그림 3-5] 허위마이크로소프트오피스업데이트패치메일로위장한악성코드 그리고해당트로이목마에감염될경우, 제우스웹익스플로잇툴킷을조종하는공격자의명령에따라 PC 안티스파이웨어2010(PC AntiSpyware2010) 와같은허위백신을설치하여컴퓨터사용자의시스템을정상적으로사용하기어렵도록만드는특징이있다. [ 그림3-7] 일본의네트워크트래픽현황 ( 자료출처 : 일본 IPA) IPA의자료에의하면이러한트래픽증가는일본국내에서발생하는것이라기보다는외국에서일본으로유입되는양이급증한것으로보인다. 트래픽이발생한정확한원인을알수는없으나최근여러변형이발생하고있는컨피커웜 (Win32/Conficker.worm) 등악성코드에의한공격의영향을받는것으로유추해볼수있다. 만약자신의 PC가갑자기 445 포트를이용한네트워크트래픽이발생한다면아래의전용백신을이용해볼것을권장한다. 컨피커전용백신다운로드 : ahn?num=80&cpage=1 악성코드피해현황 [ 그림 3-6] 악성코드에의해설치된허위백신인 PC 안티스파이웨어2010 이러한특징을가진 Zbot 트로이목마가중국악성코드 TOP 10에포함되자이와동시에허위백신관련악성코드인 Fraudload, Fakeav와 Fakealert 트로이목마들역시새로이악성코드 TOP 10에포함되거나순위가상승하는현상이동반되었다. 일본 IPA의자료에의하면 2009년 3분기일본에서가장많은피해를유발한악성코드는넷스카이웜 (Win32/Netsky.worm) 인것으로밝혀졌다. 아래의 [ 그림3-8] 는 2009년 7월과 8월발생한악성코드피해통계를집계한것으로넷스카이웜등전통적인이메일웜에의한피해가여전히많은양을차지하고있는것을볼수있다. 이렇게전자메일로유포되는악성코드의경우에는보낸사람이잘모르 는사람일경우에는가급적열지말고특히첨부파일이나웹사이트로연 결되는링크가존재할경우에는특히나주의를기울여야한다. 5. 일본 3 분기악성코드동향 2009년 3분기일본의보안이슈는 7월부터 445 포트를이용한공격이급증하고있는것과악성코드다운로드를위한스크립트가삽입된사이트에의한사용자피해가증가하고있는것을들수있다. 아래의 [ 그림3-7] 은일본 IPA( 에서발표한월간리포트의내용중트래픽변화추이를집계한것이다. 445 포트를이용한트래픽이 7월이후급증하고있는것을볼수있다. [ 그림3-8] 2009년 3분기악성코드피해통계 ( 자료출처 : 일본 IPA) 이메일웜이외에는오토런류의악성코드와컨피커웜, 바이럿 (Win32/ Virut) 등의악성코드가여전히많은피해를입히고있는것을볼수있는데이러한악성코드들에의한피해는일본뿐아니라전세계적인추세로보인다. 16 ASEC Report _ Vol.9
19 아래의 [ 표3-7] 은일본트랜드마이크로사에서발표한월별악성코드피해통계이다. 오토런류의악성코드에의한피해가다수를차지하고있는것을볼수있는데최근발견되는악성코드들중다른악성코드들을설치하는인스톨러기능을하는악성코드들은대부분오토런기능을가지고있을정도로보편화된감염기법이되고있으므로 USB 등외부저장매체사용시주의가필요하다. 해가급증하고있다. 최근한국에서도네이트메신저계정을탈취하여금전을요구하는등다양한방법으로부당한이득을취하고자하는사례가증가하고있는추세인데이러한상황은개인정보관리의중요성을반증하는사례라고할수있다. 6. 세계 3 분기악성코드동향 2009년 3분기에도여전히하루에매일 2만개 - 3만개의신종악성코드가발견된것으로추정된다. 독일악성코드과백신을테스트하는기관인 AV-Test 에서 2009년 7월 24일에누적악성코드수가 2천만개를넘었다고발표한다. [ 표3-7] 일본트랜드마이크로월별감염피해통계 ( 자료출처 : 일본트랜드마이크로 ) 오토런악성코드이외에는 JS_GUMBLAR 등스크립트류의악성코드들에의한피해가많이발생한것을볼수있는데이러한점은일본에서도한국과동일하게웹사이트해킹을통한악성코드유포가증가하고있는것을유추할수있게해준다. 실제로일본에서는 2009년 5월 PDF 취약점을이용한악성스크립트를삽입하는공격이다수의사이트에발생하여이슈가된적이있다. 일본 IPA에서는최근발생하고있는제로데이취약점으로인한피해예방을위해아래와같이주의를당부하는권고문을발표했다. 한국에서는보이스피싱과같은신종사기에의한피해가이슈가되고있는데이러한상황은일본도크게다르지않다. 일본에서는한국보다더이전부터이러한사기수법으로인한피해가발생하고있는상황이다. 3분기널리퍼지고이슈가된악성코드중하나는 8월에발견된인덕바이러스 (Win32/Induc virus) 이다. 이바이러스는델파이컴파일러관련파일을변조해컴파일되는모든파일에바이러스코드를심어두는기법을사용한다. 일반시스템에서는아무런증상이없어발견이늦어져델파이개발자들을중심으로널리퍼졌다. 백신프로그램에서그동안잘사용하던프로그램이바이러스감염되었다고해고객들로부터오진아니냐는문의가폭주했다. 악성코드배포방법은여전히웹사이트해킹후웹브라우저취약점을이용하는코드를삽입해악성코드를배포하는방식과 USB 플래쉬메모리디스크같은이동형저장매체를통한전파가널리이용되었다. 이외 PDF, 오피스문서등의파일포맷취약점을이용한악성코드도종종등장한다. 과거보다는줄어들었지만메일을통해세금고지메일, 택배메일, 트위터초대메일등으로가장한형태의악성코드가유행한다. 허위택배메일을가장한브레도랩 (Win-Trojan/Bredolab) 이대표적이다. 이외트위터 (Twitter) 나구글뉴스그룹을이용해악성코드를조정하는형태도등장한다. 봇넷을구성하는방법이다양해진것을알수있다. 루마니아비트디펜더의통계에따르면쿠키등을제외하고진단상위권은오토런웜이생성하는 INF인 Trojan.AutorunINF.Gen 이며광고클릭커트로이목마인 Trojan.Clicker.CM 이다. 감염된파일로는브론톡웜 (Win32/Brontok.wrom) 이순위에올랐는데이웜은여러파일을생성하는편이나감염파일수가많다. 1 러시아카스퍼스키랩의통계에따르면 1위는컨피커 (Conficker) 웜변형이차지했다. 상위권에존재하는악성코드는샐리티바이러스변형, 오토런웜, 오토잇웜등이차지하고있다. 새롭게진입한인덕바이러스는 10위로올라섰다. 2 [ 그림 3-9] IPA 의부당청구상담건수추이 [ 자료출처 : 일본 IPA] [ 그림 3-9] 은월별피싱관련상담통계를그래프로집계한자료인데그 래프에서볼수있는것처럼하반기들어이러한사기수법으로인한피 영국의메시지랩에따르면 399.2개메일중 1개가악성코드, 437.1개메일중 1개가피싱메일이라고한다. 악성코드를포함한메일중일반적으로실행압축된악성코드는 21.27% 이며의심스러운링크를보내는 세상에서가장안전한이름안철수연구소 17
20 경우가 5.78%, 취약점이용이 4.25% 이며 3분기메일을통해꾸준히배포된브레도랩 (Bredolab) 이 3.81% 를차지고있다. 스팸메일의 87.9% 가봇넷에의해서이뤄지는것으로추정하고있으며봇넷중 Grum, Bobax, Cutwail, Rustock 등의스팸메일발송악성코드의비중이크다고한다. AhnLab V3 MSS 18 ASEC Report _ Vol.9
21
22
< FBFF9B0A320BEC7BCBAC4DAB5E520C0BAB4D0BBE7C0CCC6AE20C5BDC1F620B5BFC7E220BAB8B0EDBCAD283131BFF E302028C8A8C6E4C0CCC1F620BEF7B
월간악성코드은닉사이트탐지 동향보고서 (11 월 ) 2012. 12. 침해사고대응단 인터넷침해대응센터 < 목차 > 1. 악성코드은닉동향요약 1 2. 홈페이지은닉형악성코드통계 2 - 유포지탐지 국가별현황 2 - 대량경유지가탐지된유포지 TOP10 3 - 악성코드유형별비율 4 - 악성코드취약점유형별비율 4 - 악성코드수집및분석결과 5 - 경유지탐지 업종별비율 10
More information< 목차 > 1. 악성코드은닉동향요약 1 2. 홈페이지은닉형악성코드통계 2 - 유포지탐지 국가별현황 2 - 대량경유지가탐지된유포지 TOP 악성코드유형별비율 4 - 악성코드취약점유형별비율 4 - 악성코드수집및분석결과 5 - 경유지탐지 업종별비율 9 3. 악성코
월간악성코드은닉사이트탐지 동향보고서 (2 월 ) 2013. 03. 침해사고대응단 인터넷침해대응센터 < 목차 > 1. 악성코드은닉동향요약 1 2. 홈페이지은닉형악성코드통계 2 - 유포지탐지 국가별현황 2 - 대량경유지가탐지된유포지 TOP10 3 - 악성코드유형별비율 4 - 악성코드취약점유형별비율 4 - 악성코드수집및분석결과 5 - 경유지탐지 업종별비율 9 3.
More information*2008년1월호진짜
3. USB 이동식저장장치를이용하여전파되는악성코드분석 1. 개 요 최근 USB 이동식 저장장치를 통하여 전파되는 악성코드에 대한 감염피해가 증가하고 있어 주의가 필요하다. 이번에 확인된 ntion.exe 악성코드는 감염 시, 특정 사이트에 접속하여 추가 악성코드를 다운로드하는 Dropper 기능을 수행한다. 또한, 웹 서버가 감염될 경우는 웹 서버내의 웹 페이지가
More information<BBE7B0EDB3EBC6AE5FC7E3BAEAB0D4C0D32E687770>
웹하드서비스를통해생성된 Botnet 을이용한 DDoS 공격피해사례 2009. 12. 본보고서의전부나일부를인용시반드시 [ 자료 : 한국인터넷침해대응센터 (KrCERT)] 를명시하여주시기바랍니다. - 1 - 1. 개요 최근발생하고있는 DDoS 사례들을분석해보면그방식들이점점지능화되고조직화되고있다는것을확인할수있다. 또한 DDoS 공격의목적도과거자기과시또는정치적인이유의단순한목적에서벗어나금전적이득을취하거나경쟁업체의영업을방해하기위한목적으로점차기업화되고있기도하다.
More information#WI DNS DDoS 공격악성코드분석
#WI-13-025 2013-07-19 내용요약 이보고서는 7 월 15 일 Fortinet 의 Kyle Yang 이작성한 6.25 DNS DDoS Attack In Korea 를참고하여작성된것임 공격대상이된 DNS 서버는 ns.gcc.go.kr 과 ns2.gcc.go.kr 로, 악성코드에 감염된좀비 PC 는 DNS 서버에대한도메인확인질의에대한응답을두 타깃으로보내지도록하는방법을이용하였음
More informationⅠ. 이달의보안동향 1. 악성코드동향 악성코드통계 아래표는악성코드의주요동향을파악하기위하여, 악성코드별변종을 종합한악성코드대표진단명감염보고 Top 20 이다 년 2 월악성코드통계현황은다음과같다. [ 표 1-2] 악성코드대표진단명감염보고 Top 20 [ 표 1-
Ⅰ. 이달의보안동향 1. 악성코드동향 악성코드통계 아래표는악성코드의주요동향을파악하기위하여, 악성코드별변종을 종합한악성코드대표진단명감염보고 Top 20 이다. 2010 년 2 월악성코드통계현황은다음과같다. [ 표 1-2] 악성코드대표진단명감염보고 Top 20 [ 표 1-1] 악성코드감염보고 Top 20 2010년 2월의악성코드감염보고는 Win32/Induc이
More informationWindows 8에서 BioStar 1 설치하기
/ 콘텐츠 테이블... PC에 BioStar 1 설치 방법... Microsoft SQL Server 2012 Express 설치하기... Running SQL 2012 Express Studio... DBSetup.exe 설정하기... BioStar 서버와 클라이언트 시작하기... 1 1 2 2 6 7 1/11 BioStar 1, Windows 8 BioStar
More informationASEC Report
1. 악성코드 Win32/Induc 바이러스허위 UPS 메일관련악성코드... 2 2. 스파이웨어 카페에글을도배하는스파이웨어... 5 3. 시큐리티 7.7 DDoS 패킷분석... 9 4. 중국보안이슈 - 중국의범죄자양성교육... 14 Win32/Induc 바이러스가남긴과제... 16 1. 악성코드통계... 21 2. 스파이웨어통계... 28 3. 시큐리티통계...
More informationⅠ. 이달의보안동향 1. 악성코드동향 2009년 10월 ASEC 리포트부터는기존의고객신고에기반한통계치의한계를넘어, 현상황을정확하게반영하고자, AhnLab에서독자개발한 AMP 1 을이용하여산출한통계데이터를사용하도록개선하였다. 아래표는악성코드의주요동향을파악하기위하여, 악성
Ⅰ. 이달의보안동향 1. 악성코드동향 2009년 10월 ASEC 리포트부터는기존의고객신고에기반한통계치의한계를넘어, 현상황을정확하게반영하고자, AhnLab에서독자개발한 AMP 1 을이용하여산출한통계데이터를사용하도록개선하였다. 아래표는악성코드의주요동향을파악하기위하여, 악성코드별변종을 종합한, 악성코드대표진단명별감염보고 Top 20 이다. 악성코드통계 [ 표 1-2]
More information` 동향보고서 1. 악성코드은닉동향요약 3 2. 홈페이지은닉형악성코드통계 악성코드유포지현황 6 - 유포지탐지현황 6 - 대량경유지가탐지된유포지 TOP 악성코드취약점및취약한 S/W 악용현황 8 - 악성코드유형별비율 9 - 위협 IP 및도메인현황 10
월간악성코드은닉사이트탐지 동향보고서 5 월 침해사고대응단인터넷침해대응본부 ` 동향보고서 1. 악성코드은닉동향요약 3 2. 홈페이지은닉형악성코드통계 6 2.1 악성코드유포지현황 6 - 유포지탐지현황 6 - 대량경유지가탐지된유포지 TOP10 7 - 악성코드취약점및취약한 S/W 악용현황 8 - 악성코드유형별비율 9 - 위협 IP 및도메인현황 10 2.2 악성코드경유지현황
More information월간악성코드은닉사이트탐지 동향보고서 9 월 침해대응단사이버침해대응본부
월간악성코드은닉사이트탐지 동향보고서 9 월 침해대응단사이버침해대응본부 ` 동향보고서 1. 악성코드은닉동향요약 3 2. 홈페이지은닉형악성코드통계 6 2.1 악성코드유포지현황 6 - 유포지탐지현황 6 - 대량경유지가탐지된유포지 TOP10 7 - 악성코드취약점및취약한 S/W 악용현황 8 - 악성코드유형별비율 9 - 위협 IP 및도메인현황 10 2.2 악성코드경유지현황
More informationTGDPX white paper
White Paper DDoS 공격 대응의 새로운 패러다임 AhnLab TrusGuard DPX Revision Version: AhnLab TrusGuard DPX White Paper ver. 1.0 Release Date: April, 2010 AhnLab, Inc. 6th Fl., CCMM Bldg. 12 Yeouido-dong, Yeongdeungpo-gu,
More information*
Korea Internet & Security Agency 29 12 CONTENTS 1 3 4 5 6 6 7 9 1 13 14 16 18 23 56 59 61 Windows XP SP1 Windows 2 SP4 1 2912 Bot 326 49 2.3 73 73 239 215 11.2% 256 199 28.6% 25 115 117.4% Bot 8,469 46
More information월간악성코드은닉사이트탐지 동향보고서 4 월 침해사고대응단인터넷침해대응본부
월간악성코드은닉사이트탐지 동향보고서 4 월 침해사고대응단인터넷침해대응본부 ` 동향보고서 1. 악성코드은닉동향요약 3 2. 홈페이지은닉형악성코드통계 6 2.1 악성코드유포지현황 6 - 유포지탐지현황 6 - 대량경유지가탐지된유포지 TOP10 7 - 악성코드취약점및취약한 S/W 악용현황 8 - 악성코드유형별비율 9 - 위협 IP 및도메인현황 10 2.2 악성코드경유지현황
More informationASEC Report
1. 악성코드 DDoS 악성코드의공격으로인한사회적혼란... 2 2. 스파이웨어 V3를도용한가짜프로그램등장... 5 3. 시큐리티 7.7 DDoS 패킷분석... 12 4. 중국보안이슈 중국에서제작된제로데이 (Zero-Day) 취약점생성기... 17 현금자동입출금기와악성코드... 22 1. 악성코드통계... 25 2. 스파이웨어통계... 35 3. 시큐리티통계...
More information07_alman.hwp
1. 개요 Alman 바이러스는국내에서감염피해가다수보고되었다. 여기서는 Alman 바이러스변종 에감염될경우의악성기능에대하여살펴보았다. Alman은감염된시스템내의실행파일들을추가로감염시킨다. 타시스템사용자가감염된실행파일들을감염여부를확인하지않고복사하여사용할경우감염되게된다. 또한, 네트워크공유폴더와이동디스크를통하여전파되므로, 윈도우암호와공유폴더암호를추측하기어렵게설정하고주기적으로이동저장매체에대한백신점검을실시하는것이필요하다.
More information<4D F736F F F696E74202D20C0FCBCBAC7D0202D20B1E2BEF720C1A4BAB820BAB8C8A3B8A620C0A7C7D120BEC7BCBAC4DAB5E520B4EBC0C0205BC8A3C8AF20B8F0B5E55D>
기업정보보호를위한악성코드대응 2009.10.27 27 안철수연구소소프트웨어연구실전성학실장 목 차 1. 악성코드위협의변화 2. 악성코드의보안위협사례 3. 악성코드의주요감염경로 4. 기업의악성코드대응방안 1. 악성코드 위협의 변화 범죄화 금전적 목적/조직적 Targeted 공격 쉽고 빠른 변형 제작 Zero Day 공격 Zero-Day 금전적인 목적 빠른 감염
More informationⅠ. 이달의 보안 동향 1. 악성코드 동향 아래 표는 악성코드의 주요 동향을 파악하기 위하여, 악성코드별 변종을 종합한 악성코드 대표진단명 감염보고 Top20이다. 악성코드 통계 2010년 10월 악성코드 통계현황은 다음과 같다. [표 1-2] 악성코드 대표진단명 감염
Ⅰ. 이달의 보안 동향 1. 악성코드 동향 아래 표는 악성코드의 주요 동향을 파악하기 위하여, 악성코드별 변종을 종합한 악성코드 대표진단명 감염보고 Top20이다. 악성코드 통계 2010년 10월 악성코드 통계현황은 다음과 같다. [표 1-2] 악성코드 대표진단명 감염보고 Top 20 2010년 10월의 감염보고 건수는 Win-Trojan/Agent가 총 856,917건
More information<4D6963726F736F667420576F7264202D2033BFF920BECBBEE0BFF9B0A3BAB8B0EDBCAD2E646F6378>
목차 Part Ⅰ. 2 월의 악성코드 통계 1. 악성코드 통계... 2 (1) 감염 악성코드 Top 15... 2 (2) 카테고리별 악성코드 유형... 3 (3) 카테고리별 악성코드 비율 전월 비교... 3 (4) 월별 피해 신고 추이... 4 (5) 월별 악성코드 DB 등록 추이... 4 2. 악성코드 이슈 분석 악성코드 종합 선물셋트 Bredolab Worm...
More informationìœ€íŁ´IP( _0219).xlsx
차단 IP 국적 공격유형 목적지포트 IPS 룰 180.97.215.45 중국 서비스취약점공격 TCP/5555 (0001)SYN Port Scan 222.186.42.248 중국 서비스취약점공격 TCP/80 (0001)SYN Port Scan 104.236.178.166 미국 웹해킹 TCP/80 (5010)HEAD / HTTP (Http server buffer
More informationuntitled
Oracle DBMS 로그인의접근제어우회 취약점분석 2006. 2. 9 인터넷침해사고대응지원센터 (KISC) 본보고서의전부나일부를인용시반드시 [ 자료 : 한국정보보호진흥원 (KISA)] 룰명시하여주시기바랍니다. 개요 o 2005년이후 Oracle Critical Patch Update(CPU) 는 Oracle사제품대상으로다수의보안패치및보안패치와관련된일반패치를발표하는주요수단임
More information5th-KOR-SANGFOR NGAF(CC)
NGAF Firewall Platform 새로운 세상, 새로운 IT, 새로운 보안 SANGFOR 보안 개념 SAN GFO NGF W+ R NG AF WAF WAF 2010년대 IT산업이 급속하게 발전함에 따라 모든 애플리케이션과 서비스, 그리고 기기들은 BYOD, 사물인터넷(IoT), 클라우드 등과 같은 새로운 기술로 인터넷을 통해 연결되고 있습니다. 이는
More informationDDoS 공격, 게임계정유출해커, 비트코인등가상화폐노린다 - 13 년 10 월부터 DDoS, 원격제어, 게임계정유출하더니최근암호화폐채굴 - 개요지난 13 년 10 월,Microsoft 社의인터넷익스플로러취약점 (CVE ) 을통해유포되는악성코드가 DDoS
DDoS 공격, 게임계정유출해커, 비트코인등가상화폐노린다 - 13 년 10 월부터 DDoS, 원격제어, 게임계정유출하더니최근암호화폐채굴 - 개요지난 13 년 10 월,Microsoft 社의인터넷익스플로러취약점 (CVE-2013-3897) 을통해유포되는악성코드가 DDoS, 원격제어, 게임계정유출기능을하고국내감염 PC 가 2만 8천여대에이르러 KISA 는신속대응한바있다.
More information취약점분석보고서 Simple Web Server 2.2 rc2 Remote Buffer Overflow Exploit RedAlert Team 안상환
취약점분석보고서 Simple Web Server 2.2 rc2 Remote Buffer Overflow Exploit 2012-07-19 RedAlert Team 안상환 목 차 1. 개요... 1 1.1. 취약점분석추진배경... 1 2. Simple Web Server 취약점... 2 2.1. Simple Web Server 취약점개요... 2 2.2. Simple
More informationⅠ. 이달의보안동향 1. 악성코드동향 악성코드통계 아래표는악성코드별변종을종합한감염보고순위를악성코드대표진 단명에따라정리한것이다. 이를통해악성코드의동향을파악할수있 다 년 1 월악성코드통계현황은다음과같다. [ 표 1-2] 악성코드대표진단명감염보고 Top 20 [
Ⅰ. 이달의보안동향 1. 악성코드동향 악성코드통계 아래표는악성코드별변종을종합한감염보고순위를악성코드대표진 단명에따라정리한것이다. 이를통해악성코드의동향을파악할수있 다. 2011 년 1 월악성코드통계현황은다음과같다. [ 표 1-2] 악성코드대표진단명감염보고 Top 20 [ 표 1-1] 악성코드감염보고 Top 20 2011년 1월의악성코드감염보고는 TextImage/Autorun이
More information2006_8_14 (8_17 updated) ms06-040 ¿ú(wgareg.exe) ºÐ¼® º¸°í¼�.hwp
MS06-040 웜(wgareg.exe) 분석 1. 개요 2. 전파 방법 (그림) browser를 오픈 요청 (그림) srvsvc 에 대한 요청 (그림) Exploit 과정 (그림) 웜 전송 3. 감염 시 악성 기능 (그림) 감염 시 개인방화벽 OFF 예 4. 타 시스템 감염을 위한 공격력 5. 위험 요소 6. 사전 예방 방법 7. 감염 시 치료 방법
More informationPowerPoint Template
설치및실행방법 Jaewoo Shim Jun. 4. 2018 Contents SQL 인젝션이란 WebGoat 설치방법 실습 과제 2 SQL 인젝션이란 데이터베이스와연동된웹서버에입력값을전달시악의적동작을수행하는쿼리문을삽입하여공격을수행 SELECT * FROM users WHERE id= $_POST[ id ] AND pw= $_POST[ pw ] Internet
More information*****
Korea Internet & Security Agency 21 2 본 보고서 내용의 전부나 일부를 인용하는 경우에는 반드시 출처 [자료:한국인터넷진흥원 인터넷침해대응센터]를 명시하여 주시기 바랍니다. CONTENTS 1 2 2 2 3 3 4 5 5 6 6 7 9 1 12 12 13 13 14 16 18 2 21 22 22 34 37 38 1 212 Bot
More information** 5 개이발생한주요소프트웨어별취약점세 EDB 번호취약점종류공격난이도공격위험도취약점이름소프트웨어이름
EDB 분석보고서 (016.01) 016.01.01~016.01.31 Exploit-DB(http://exploit-db.com) 에공개된취약점별로분류한정보입니다. 분석내용정리 ( 작성 : 펜타시큐리티시스템보안성평가팀 ) 016 년 1 월에공개된 Exploit-DB 의분석결과, SQL Injection 공격에대한취약점보고개수가가장많았습니다. 분석된 SQL Injection
More informationASEC Report
1. 악성코드 사회적이슈를이용한악성코드... 2 2. 스파이웨어 정상적읶컴퓨터사용을방해하는스파이웨어... 5 3. 시큐리티 TV는사랑을싣고 ~, 메읷은취약점을싣고 ~... 7 4. 네트워크모니터링현황... 11 5. 중국보안이슈... 13 TrueFind 성공기... 19 1. 악성코드통계... 25 2. 스파이웨어통계... 34 3. 시큐리티통계... 37
More informationASEC Report
1. 악성코드 메신저관련악성코드와테러뉴스를위장한월덱 (Waledac) 변형... 2 2. 스파이웨어 애드웨어들간의전쟁 (AdWars)... 5 3. 시큐리티 컨피커 (Conficker) 웜의세번째공격... 8 4. 네트워크모니터링현황- MS08-067 취약점의위험성지속... 11 5. 중국보안이슈 해외기관을공격하는 GhostNet 발견... 13 악성코드의국지성...
More informationⅠ. 이달의보안동향 1. 악성코드동향 악성코드통계 2009 년 12 월악성코드통계현황은다음과같다. [ 표 1-2] 악성코드대표진단명감염보고 Top 20 [ 표 1-1] 악성코드감염보고 Top 년 12월의악성코드감염보고는 Win32/Induc과 TextIma
Ⅰ. 이달의보안동향 1. 악성코드동향 악성코드통계 2009 년 12 월악성코드통계현황은다음과같다. [ 표 1-2] 악성코드대표진단명감염보고 Top 20 [ 표 1-1] 악성코드감염보고 Top 20 2009년 12월의악성코드감염보고는 Win32/Induc과 TextImage/Autorun이 1,2위를차지하고있으며, 신규로 Top 20에진입한악성코드는총 7건이다.
More information<C0CCC8ADC1F82E687770>
분석보고서 09. 11. 06. 작성 악성봇분석과예방 (Analysis Malicious Bot & Protection) 작성자 : 영남대학교 @Xpert 이화진 ghkwls0308@ynu.ac.kr - 1 - - 목차 - 1. About 봇... 3 1) 봇의정의 2) 봇의특징 3) 봇의동작원리 2. 악성 IRC봇... 4 1) 정의 2) 동작원리 3) 증상
More information개인정보보호의 이해 및 안전한 관리 - 개인PC 및 스마트폰 개인정보보호-
개인정보보호의 이해와 안전한 관리 - 안전한 개인정보 관리- 2013. 6. 26 최 윤 형 (한국정보화진흥원) 1 안전한 개인PC 관리방법 목 차 2 안전한 스마트폰 관리방법 1. 안전한 개인PC 관리방법 정보통신 기기의 보안 위협요인 위협요소 웜, 바이러스, 악성코드, DDos공격침입, 네트워크 공격 휴대성, 이동성 오픈 플랫폼 3G, WiFi, Wibro
More information< 목차 > 1. 악성코드은닉동향요약 1 2. 홈페이지은닉형악성코드통계 악성코드유포지현황 3 - 유포지탐지현황 3 - 대량경유지가탐지된유포지 TOP 악성코드취약점및취약한 S/W 악용현황 5 - 악성코드유형별비율 6 - 위협 IP/ 도메인현황 7 2
월간악성코드은닉사이트탐지 동향보고서 (1 월 ) 2015. 02. 침해사고대응단 인터넷침해대응본부 < 목차 > 1. 악성코드은닉동향요약 1 2. 홈페이지은닉형악성코드통계 3 2.1 악성코드유포지현황 3 - 유포지탐지현황 3 - 대량경유지가탐지된유포지 TOP10 4 - 악성코드취약점및취약한 S/W 악용현황 5 - 악성코드유형별비율 6 - 위협 IP/ 도메인현황
More informationASEC Report
ASEC Report 12 월 ASEC Report 2009. 1. I. 이달의보안이슈... 2 (1) 악성코드 IE 제로데이취약점과쿠폰을가장한악성코드... 2 (2) 스파이웨어 애드웨어의새로운시도... 5 (3) 시큐리티 MS08-078 IE XML 제로데이취약점... 9 (4) 네트워크모니터링현황 MS08-067 취약점공격트래픽... 12 (5) 중국보안이슈
More information인터넷 비즈니스의 필수 요소, 트랜잭션 시큐리티 서비스 인터넷 비즈니스는 기업 영리 활동에 있어서 부가적인 서비스가 아닌 사업을 영위해 가는데 중요한 역할을 하고 있습니다. 특히, 인터넷 쇼핑몰, 인터 넷 뱅킹, 사이버 트레이딩, 전자정부서비스, 온라인 게임, 인터넷
인터넷비즈니스의안심코드, AhnLab Online Security 2.0 멀티브라우저지원! 블루투스키보드지원! 메모리해킹방어! 웹페이지변조및스크린캡처차단! 정보유출걱정없이비즈니스가완성됩니다 보안전용브라우저 AOS Secure Browser 키보드보안서비스 AOS anti-keylogger 온라인 PC 방화벽 AOS firewall 온라인통합방역서비스 AOS
More informationActFax 4.31 Local Privilege Escalation Exploit
NSHC 2013. 05. 23 악성코드 분석 보고서 [ Ransomware 악성코드 ] 사용자의 컴퓨터를 강제로 잠그고 돈을 요구하는 형태의 공격이 기승을 부리고 있 습니다. 이러한 형태의 공격에 이용되는 악성코드는 Ransomware로 불리는 악성코 드 입니다. 한번 감염 시 치료절차가 복잡하며, 보고서 작성 시점을 기준으로 지속 적인 피해자가 발생되고
More informationASEC Report
1. 악성코드 AimBot 웜의출현과 Virut 바이러스변형기승... 2 2. 스파이웨어 스파이웨어배포방식의지능화... 5 3. 시큐리티 다양한취약점을이용한공격증가... 8 4. 네트워크모니터링현황 MS08-067 취약점을이용한공격증가... 12 5. 중국보안이슈 가짜경품웹사이트사기단검거... 14 주요백싞프로그램의오진사례와원읶... 17 1. 악성코드 Autorun
More informationASEC Report
1. 악성코드 Geno 혹은 Gumblar 악성코드이슈... 2 2. 스파이웨어 리워드프로그램제작자의기소및 Clicker 이슈... 5 3. 시큐리티 IIS의 WebDAV 취약점주의요망... 9 4. 중국보안이슈 사이버머니갈취범징역형및취약한 PDF 생성기... 12 구름속백신?! 안랩스마트디펜스... 15 1. 악성코드... 24 2. 스파이웨어... 33
More informationMicrosoft Word - ntasFrameBuilderInstallGuide2.5.doc
NTAS and FRAME BUILDER Install Guide NTAS and FRAME BUILDER Version 2.5 Copyright 2003 Ari System, Inc. All Rights reserved. NTAS and FRAME BUILDER are trademarks or registered trademarks of Ari System,
More informationSecurity Trend ASEC Report VOL.56 August, 2014
Security Trend ASEC Report VOL.56 August, 2014 ASEC Report VOL.56 August, 2014 ASEC(AhnLab Security Emergency response Center) 은악성코드및보안위협으로부터고객을안전하게지키기위하여보안전문가로구성된 글로벌보안조직입니다. 이리포트는주식회사안랩의 ASEC 에서작성하며,
More information<31305FBEC6C0CCC5DB2E687770>
1. 개요분산서비스거부공격 (Distribute Denial of Service) 은공격의대상이되는서버에서비스장애를 발생시킬뿐만아니라, 네트워크의안정성에도위협이되고있으므로각별한주의가필요하다. 최근, 실제로국내인터넷사용 PC가분산서비스거부공격 (DDoS) 을위한 Agent 로악용되어대량의트래픽을발생하여, 국내일부게임아이템거래사이트에서비스장애를유발시킨사고가발생하였다.
More information시스템, 네트워크모니터링을통한보안강화 네트워크의미래를제시하는세미나 세미나 NetFocus 2003 : IT 관리자를위한네트워크보안방법론 피지피넷 /
시스템, 네트워크모니터링을통한보안강화 네트워크의미래를제시하는세미나 세미나 NetFocus 2003 : IT 관리자를위한네트워크보안방법론 피지피넷 / 팀장나병윤!dewymoon@pgpnet.com 주요내용 시스템모니터링! 패킷크기와장비의 CPU 및 Memory 사용량! SNMP를장비의상태관찰 비정상적인트래픽모니터링! Packet 분석기의다양한트래픽모니터링도구를이용한비정상적인트래픽관찰!
More information354-437-4..
357 358 4.3% 5.1% 8.2% 6.2% 5.6% 6% 5% 5.3% 96.1% 85.2% 39.6% 50.8% 82.7% 86.7% 28.2% 8.0% 60.0% 60.4% 18,287 16,601 (%) 100 90 80 70 60 50 40 86.6% 80.0% 77.8% 57.6% 89.7% 78.4% 82.1% 59.0% 91.7% 91.4%
More informationMicrosoft Word - windows server 2003 수동설치_non pro support_.doc
Windows Server 2003 수동 설치 가이드 INDEX 운영체제 설치 준비과정 1 드라이버를 위한 플로피 디스크 작성 2 드라이버를 위한 USB 메모리 작성 7 운영체제 설치 과정 14 Boot Sequence 변경 14 컨트롤러 드라이버 수동 설치 15 운영체제 설치 17 운영체제 설치 준비 과정 Windows Server 2003 에는 기본적으로
More informationI. 이달의보안동향 1. 악성코드동향 악성코드통계 아래표는악성코드의주요동향을파악하기위하여악성코드별변종을 종합한악성코드대표진단명감염보고 Top20 이다 년 12 월악성코드통계현황은다음과같다. [ 표 1-2] 악성코드대표진단명감염보고 Top 20 [ 표 1-1]
I. 이달의보안동향 1. 악성코드동향 악성코드통계 아래표는악성코드의주요동향을파악하기위하여악성코드별변종을 종합한악성코드대표진단명감염보고 Top20 이다. 2010 년 12 월악성코드통계현황은다음과같다. [ 표 1-2] 악성코드대표진단명감염보고 Top 20 [ 표 1-1] 악성코드감염보고 Top 20 2010년 12월의악성코드감염보고는 JS/Agent이 1위를차지하고있으며,
More information취약점분석보고서 [Photodex ProShow Producer v ] RedAlert Team 안상환
취약점분석보고서 [Photodex ProShow Producer v5.0.3256] 2012-07-24 RedAlert Team 안상환 목 차 1. 개요... 1 1.1. 취약점분석추진배경... 1 2. Photodex ProShow Producer Buffer Overflow 취약점분석... 2 2.1. Photodex ProShow Producer Buffer
More informationDisclosure to or reproduction for others without the specific written authorization of AhnLab is prohibited. Copyright (c) AhnLab, Inc. All rights res
Disclosure to or reproduction for others without the specific written authorization of AhnLab is prohibited. Copyright (c) AhnLab, Inc. All rights reserved. AhnLab Security Emergency response Center REPORT
More information메일서버등록제(SPF) 인증기능적용안내서 (Exchange Windows 2000) OS Mail Server SPF 적용모듈 작성기준 Windows Server 2000 Exchange Server 2003 GFI MailEssentials 14 for
메일서버등록제(SPF) 인증기능적용안내서 (Exchange 2003 - Windows 2000) OS Mail Server SPF 적용모듈 작성기준 Windows Server 2000 Exchange Server 2003 GFI MailEssentials 14 for Exchange 2016 년 6 월 - 1 - 목 차 I. 개요 1 1. SPF( 메일서버등록제)
More information목차 1. 개요 배경 파일정보 상세분석 SMB 취약점공격흐름 특징적인행위 대응
MALWARE ANALYSIS REPORT WannaCry 랜섬웨어분석 #2 SMB 취약점분석 목차 1. 개요... 3 1.1 배경... 3 1.2 파일정보... 3 2. 상세분석... 4 2.1 SMB 취약점공격흐름... 4 2.2 특징적인행위... 11 3. 대응... 12-2 - 1. 개요 1.1 배경 2017년 5월 17일배포한 WannaCry 분석보고서에도언급되었듯이,
More information메일서버등록제(SPF) 인증기능적용안내서 (Exchange Windows 2003) OS Mail Server SPF 적용모듈 작성기준 Windows Server 2003 Exchange Server 2003 GFI MailEssentials 2010 fo
메일서버등록제(SPF) 인증기능적용안내서 (Exchange 2003 - Windows 2003) OS Mail Server SPF 적용모듈 작성기준 Windows Server 2003 Exchange Server 2003 GFI MailEssentials 2010 for Exchange 2016 년 6 월 - 1 - 목 차 I. 개요 1 1. SPF( 메일서버등록제)
More informationⅠ. 이달의보안동향 1. 악성코드동향 악성코드통계 2009 년 11 월악성코드통계현황은다음과같다. [ 표 1-2] 악성코드대표진단명감염보고 Top 20 [ 표 1-1] 악성코드감염보고 Top 년 11월의악성코드감염보고는 Win32/Induc이 1위를차지하고
Ⅰ. 이달의보안동향 1. 악성코드동향 악성코드통계 2009 년 11 월악성코드통계현황은다음과같다. [ 표 1-2] 악성코드대표진단명감염보고 Top 20 [ 표 1-1] 악성코드감염보고 Top 20 2009년 11월의악성코드감염보고는 Win32/Induc이 1위를차지하고있으며, TextImage/Autorun 과 Win32/Virut.B 가각각 2위와 3위를차지하였다.
More informationwtu05_ÃÖÁ¾
한 눈에 보는 이달의 주요 글로벌 IT 트렌드 IDG World Tech Update May C o n t e n t s Cover Story 아이패드, 태블릿 컴퓨팅 시대를 열다 Monthly News Brief 이달의 주요 글로벌 IT 뉴스 IDG Insight 개발자 관점에서 본 윈도우 폰 7 vs. 아이폰 클라우드 컴퓨팅, 불만 검증 단계 돌입 기업의
More information슬라이드 1
2010.10.14 조시행상무 (shcho@ahnlab.com) 연구소장 목 차 1. 상반기악성코드동향과보앆위협 2. 악성코드를이용핚 DDoS 공격사례 3. Cloud Service 를이용핚 ACCESS 대응젂략 1. 상반기악성코드동향과보안위협 1. 상반기악성코드동향과보앆위협 1) 악성코드로인핚보앆위협의발젂 느린감염호기심, 자기과시 빠른감염호기심, 자기과시
More informationAhnLab_template
2012 년상반기 악성코드동향과전망 - APT 2012. 10. 10 조시행연구소장 Contents 01 APT 02 최근 APT 공격사례 03 APT 공격형태의특징 04 미래 APT 공격형태 05 APT 공격대응방안 01 APT(Advanced Persistent Threat) 1) 2012 년도악성코드동향리뷰 2012 년 1 분기악성코드유형별피해분포 2012
More information1) 인증서만들기 ssl]# cat >www.ucert.co.kr.pem // 설명 : 발급받은인증서 / 개인키파일을한파일로저장합니다. ( 저장방법 : cat [ 개인키
Lighttpd ( 멀티도메인 ) SSL 인증서신규설치가이드. [ 고객센터 ] 한국기업보안. 유서트기술팀 1) 인증서만들기 [root@localhost ssl]# cat www.ucert.co.kr.key www.ucert.co.kr.crt >www.ucert.co.kr.pem // 설명 : 발급받은인증서 / 개인키파일을한파일로저장합니다. ( 저장방법 : cat
More informationⅠ. 이달의보안동향 1. 악성코드동향 악성코드통계 아래표는악성코드의주요동향을파악하기위하여, 악성코드별변종을 종합한악성코드대표진단명감염보고 Top20 이다. 2010 년 3 월악성코드통계현황은다음과같다. [ 표 1-2] 악성코드대표진단명감염보고 Top 20 [ 표 1-2] 악성코드대표진단명감염보고 Top 20 [ 표 1-1] 악성코드감염보고 Top 20 2010년
More informationSecure Programming Lecture1 : Introduction
해킹및침해대응 Lecture2 침해사고동향 보안위협의증대 APT 를기반으로하는기업 / 기관을대상으로하는공격이지속적으로발생 : ADD, MND, 한수원등 DDoS 공격의지속적인발생, 공격목적의변화 서비스거부해제를위한금품요구 사회혼란, 정치적목적 공공기관사칭피싱사이트증가 금융, 게임, 포털 검찰청, 경찰청, 금감원 추가적으로모바일형태의피싱사이트증가 주요인기키워드및사회이슈를활용한악성코드배포
More informationÀÎÅÍ³Ý ÁøÈï¿ø 5¿ù
21 5 Korea Internet & Security Agency CONTENTS 2 3 3 3 4 4 5 6 6 7 7 8 11 12 14 14 15 15 16 18 2 22 23 24 24 32 35 36 2 215 Bot 1,7511,315 33.2% 1,621,468 27.7% 285 431 33.9% 295 12 6.9% 44 396 2.% 132
More information< F33BFF920C0CEC5CDB3DD20C4A7C7D8BBE7B0ED20B5BFC7E220B9D720BAD0BCAEBFF9BAB828C3D6C1BEBABB292E687770>
악성코드유포지 경유지의공격코드와보안취약점 1. 개요 본고에서는인터넷침해사고대응지원센터에서자체개발 적용하고있는악성코드은닉사이트탐지프로그램에서 2006년 1월부터 3월까지탐지한사이트중 50개를대상으로공격코드및관련소프트웨어취약점을분석한다. 먼저 ( 그림 1) 에서악성코드유포와경유지를구분하고, 2005년이후게재되었던 인터넷침해사고동향및분석월보 관련기사를해당부분에적어보았다.
More informationSystem Recovery 사용자 매뉴얼
Samsung OS Recovery Solution 을이용하여간편하게 MagicInfo 의네트워크를설정하고시스템을백업및복원할수있습니다. 시스템시작시리모컨의 - 버튼이나키보드의 F3 키를연속해서누르면복구모드로진입한후 Samsung OS Recovery Solution 이실행됩니다. Samsung OS Recovery Solution 은키보드와리모컨을사용하여조작할수있습니다.
More informationⅠ. 이달의보안동향 1. 악성코드동향 악성코드통계 아래표는악성코드의주요동향을파악하기위하여악성코드별변종을 종합한악성코드대표진단명감염보고 Top20 이다. 2010 년 11 월악성코드통계현황은다음과같다. [ 표 1-2] 악성코드대표진단명감염보고 Top 20 [ 표 1-1] 악성코드감염보고 Top 20 2010년 11월의악성코드감염보고는 TextImage/Autorun이
More informationⅠ. 이달의보안동향 1. 악성코드동향 악성코드통계 아래표는악성코드의주요동향을파악하기위하여, 악성코드별변종을 종합한악성코드대표진단명감염보고 Top20 이다 년 6 월악성코드통계현황은다음과같다. [ 표 1-2] 악성코드대표진단명감염보고 Top 20 [ 표 1-1
Ⅰ. 이달의보안동향 1. 악성코드동향 악성코드통계 아래표는악성코드의주요동향을파악하기위하여, 악성코드별변종을 종합한악성코드대표진단명감염보고 Top20 이다. 2010 년 6 월악성코드통계현황은다음과같다. [ 표 1-2] 악성코드대표진단명감염보고 Top 20 [ 표 1-1] 악성코드감염보고 Top 20 2010년 6월의악성코드감염보고는 TextImage/Autorun
More information1
3.3 DDoS 분석보고서 2011.03.04 잉카인터넷 시큐리티대응센터 1. 분석개요 1.1. 목적 2011 년 3 월 3 일접수된 DDoS 악성샘플에대한분석을수행합니다. 1.2. 분석환경 :: Windows XP SP3 Kor 1.3. 분석에사용된프로그램 :: Process Explorer :: Tcpview :: Ollydbg 1.4. 패턴버전및업데이트로그
More informationASEC Report
1. 악성코드 콘피커웜변형출현으로인한피해증가... 2 2. 스파이웨어 스파이웨어크립터와가짜백신... 6 3. 시큐리티 콘피커웜의전파방법과대처법... 9 4. 네트워크모니터링현황 콘피커웜의확산... 13 5. 중국보안이슈 2008년악성코드동향... 16 콘피커웜 Technical Report... 20 1. 악성코드 OnlineGameHack의활동뚜렷... 29
More information아이콘의 정의 본 사용자 설명서에서는 다음 아이콘을 사용합니다. 참고 참고는 발생할 수 있는 상황에 대처하는 방법을 알려 주거나 다른 기능과 함께 작동하는 방법에 대한 요령을 제공합니다. 상표 Brother 로고는 Brother Industries, Ltd.의 등록 상
Android 용 Brother Image Viewer 설명서 버전 0 KOR 아이콘의 정의 본 사용자 설명서에서는 다음 아이콘을 사용합니다. 참고 참고는 발생할 수 있는 상황에 대처하는 방법을 알려 주거나 다른 기능과 함께 작동하는 방법에 대한 요령을 제공합니다. 상표 Brother 로고는 Brother Industries, Ltd.의 등록 상표입니다. Android는
More informationASEC REPORT VOL.79 July, 2016 ASEC(AhnLab Security Emergency response Center) 은악성코드및보안위협으로부터고객을안전하게지키기위하여보안전문가로구성된 글로벌보안조직입니다. 이리포트는주식회사안랩의 ASEC 에서작성하
Security Trend ASEC REPORT VOL.79 July, 2016 ASEC REPORT VOL.79 July, 2016 ASEC(AhnLab Security Emergency response Center) 은악성코드및보안위협으로부터고객을안전하게지키기위하여보안전문가로구성된 글로벌보안조직입니다. 이리포트는주식회사안랩의 ASEC 에서작성하며, 매월발생한주요보안위협과이슈에대응하는최신보안기술에대한요약정
More information<3035313230325FBBE7B0EDB3EBC6AE5FB5F0C6FAC6AEC6D0BDBABFF6B5E5C3EBBEE0C1A128BCF6C1A4292E687770>
네트워크 장비의 디폴트 로그인 패스워드 취약점 및 대책 2005. 11. 30 본 보고서의 전부나 일부를 인용시 반드시 [자료: 한국정보보호진흥원(KISA)]룰 명시하여 주시기 바랍니다. - 1 - 1. 개요 패스워드 관리는 보안의 가장 기본적인 사항으로 유추하기 어려운 패스워드를 사용하고, 주기적 으로 패스워드를 변경하는 등 패스워드 관리에 신경을 많이 쓰고
More informationÀÎÅÍ³Ý ÁøÈï¿ø 3¿ù ÀúÇØ»ó
Korea Internet & Security Agency 21 3 CONTENTS 1 2 2 2 3 3 4 5 5 6 6 7 9 1 12 12 13 13 14 16 18 2 21 22 22 31 34 35 1 213 Bot 1,85 1,32 16.7 1,53 1,76 12.1 222 317 3. 116 16 9.4% 345 23 5.% 267 233 14.6%
More information2017 년악성코드은닉사이트탐지동향보고서 ( 상반기 ) 악성코드은닉사이트탐지 동향보고서 17 년상반기 1
악성코드은닉사이트탐지 동향보고서 17 년상반기 1 ` 1. 악성코드은닉동향요약 3 2. 홈페이지은닉형악성코드통계 4 2.1 악성코드유포지현황 4 - 유포지탐지현황 4 - 대량경유지가탐지된유포지 TOP10 5 - 악성코드취약점및취약한 S/W 악용현황 6 - 악성코드유형별비율 7 - 위협 IP 및도메인현황 8 2.2 악성코드경유지현황 9 - 경유지탐지 업종별비율
More information아래 항목은 최신( ) 이미지를 모두 제대로 설치하였을 때를 가정한다
공유기사용환경에서 MNC-V100 환경설정하기 다음설명은 AnyGate GW-400A (Http://www.anygate.co.kr) 를사용하는네트워크환경에서 MNC-V100 을연결하여사용하는법을설명합니다. 공유기내부네트워크환경설정공유기를사용하는환경에서공유기의설정을아래그림과같이설정하시면 MNC-V100의설정을변경하지않아도모비캠과연결할수있습니다. ( 공유기의환경을변경하기어려운경우에는
More information게시판 스팸 실시간 차단 시스템
오픈 API 2014. 11-1 - 목 차 1. 스팸지수측정요청프로토콜 3 1.1 스팸지수측정요청프로토콜개요 3 1.2 스팸지수측정요청방법 3 2. 게시판스팸차단도구오픈 API 활용 5 2.1 PHP 5 2.1.1 차단도구오픈 API 적용방법 5 2.1.2 차단도구오픈 API 스팸지수측정요청 5 2.1.3 차단도구오픈 API 스팸지수측정결과값 5 2.2 JSP
More informationSecure Programming Lecture1 : Introduction
Malware and Vulnerability Analysis Lecture1 Malware Analysis #1 Agenda 악성코드정적분석 악성코드분석 악성코드정적분석 정적분석 임의의코드또는응용프로그램을실행하지않고분석 ASCII 문자열 (ex. URL) API 리스트 Packing VT 기타등등 정적분석 : 파일식별 악성으로의심되는파일의형태식별 file
More information08_spam.hwp
1. 개요 최근국내외에서 E-card 발송을가장한스팸메일로인하여악성코드에감염되는피해가다수보고되었다. 악성코드는메일본문에악의적인 URL을삽입및클릭을유도하는방식으로스팸메일을발송한다. 사용자가스팸메일에포함되어있는악성URL을클릭할경우감염될수있으며, 감염후에는악성코드가감염PC내에저장되어있는메일주소들을추출하여해당주소로동일유형의스팸메일을발송하게된다. 또한, P2P를통한명령전달및추가악성코드다운로드등의악성행위가예상되므로사용자는
More information슬라이드 1
강력한성능! 인터넷 / 업무용데스크탑 PC NX-H Series Desktop PC NX1- H700/H800/H900 NX2- H700/H800/H900 NX1-H Series 사양 Series 제품설명 ( 모델명 ) NX1-H Series, 슬림타입 기본형모델중보급형모델고급형모델 NX1-H800:112SN NX1-H800:324SN NX1-H800:534MS
More information메일서버등록제(SPF) 인증기능적용안내서 (HP-UX - qmail) OS Mail Server SPF 적용모듈 (Perl 기반) 작성기준 HP-UX 11.11i qmail 1.03 spf-filter 년 6 월
메일서버등록제(SPF) 인증기능적용안내서 (HP-UX - qmail) OS Mail Server SPF 적용모듈 (Perl 기반) 작성기준 HP-UX 11.11i qmail 1.03 spf-filter 1.0 2016 년 6 월 목 차 I. 개요 1 1. SPF( 메일서버등록제) 란? 1 2. SPF 를이용한이메일인증절차 1 II. qmail, SPF 인증모듈설치
More information목차 윈도우드라이버 1. 매뉴얼안내 운영체제 (OS) 환경 윈도우드라이버준비 윈도우드라이버설치 Windows XP/Server 2003 에서설치 Serial 또는 Parallel 포트의경우.
소프트웨어매뉴얼 윈도우드라이버 Rev. 3.03 SLP-TX220 / TX223 SLP-TX420 / TX423 SLP-TX400 / TX403 SLP-DX220 / DX223 SLP-DX420 / DX423 SLP-DL410 / DL413 SLP-T400 / T403 SLP-T400R / T403R SLP-D220 / D223 SLP-D420 / D423
More information<4D F736F F F696E74202D D203120C3D6B1D920C1A4BAB8BAB8C8A320C0A7C7F9B0FA20C4A7C7D8BBE7B0ED20B5BFC7E220B1E8C8ABBCAE202E707
최근정보보호위협과 침해사고동향 김홍석보안프로그램매니저고객지원부한국마이크로소프트 해킹으로부터안전하고 바이러스걱정도안하고 보안취약점염려도없이 컴퓨터를가장안전하게사용하는 방법은? 컴퓨터를네트워크에연결하지않고 CD, 디스켓, USB 메모리를사용하지않는다 한국정보보호진흥원 (KISA) 2006. 12. * 정보통신부 Dynamic u-korea 정보보호강화사업결과물
More information1. 배경 업무 내용이나 개인정보가 담긴 청구서 등을 메일로 전달 시 중요한 정보가 유출되는 경우가 발생하고 있으며, 이에 따른 메일 암호화 솔루션을 도입하고 있으나 기존 ActiveX를 기반으로 한 플러그인 방식은 여러 가지 제약으로 인해 사용성이 저하되고, 고객 대
Non-ActiveX 방식의 메일암호화 솔루션 1. 배경 업무 내용이나 개인정보가 담긴 청구서 등을 메일로 전달 시 중요한 정보가 유출되는 경우가 발생하고 있으며, 이에 따른 메일 암호화 솔루션을 도입하고 있으나 기존 ActiveX를 기반으로 한 플러그인 방식은 여러 가지 제약으로 인해 사용성이 저하되고, 고객 대응 및 운영 비용이 증가하는 원인이 되어 개선이
More informationASEC Report
ASEC Report 10 월 ASEC Report 2008. 11. I. ASEC Monthly Trend & Issue... 2 (1) 악성코드 MS08-067 윈도우보안취약점을악용하는악성코드... 2 (2) 스파이웨어 스팸메일러피해증가... 5 (3) 시큐리티 원격공격이가능한 MS08-067... 9 (4) 네트워크모니터링현황 TCP 445 포트공격시도...
More informationUDP Flooding Attack 공격과 방어
황 교 국 (fullc0de@gmail.com) SK Infosec Co., Inc MSS Biz. Security Center Table of Contents 1. 소개...3 2. 공격 관련 Protocols Overview...3 2.1. UDP Protocol...3 2.2. ICMP Protocol...4 3. UDP Flood Test Environment...5
More informationAhnLab Security Emergency response Center ASEC (AhnLab Security Emergency response Center) 은악성코드및보안위협으로부터고객을안전하게지키기위하여보안전문가로구성된글로벌보안조직입니다. 이리포트는 안철수연구
Disclosure to or reproduction for others without the specific written authorization of AhnLab is prohibited. Copyright (c) AhnLab, Inc. All rights reserved. ASEC REPORT VOL.23 211.12 안철수연구소월간보안보고서 이달의보안동향
More informationMicrosoft Word - src.doc
IPTV 서비스탐색및콘텐츠가이드 RI 시스템운용매뉴얼 목차 1. 서버설정방법... 5 1.1. 서비스탐색서버설정... 5 1.2. 컨텐츠가이드서버설정... 6 2. 서버운용방법... 7 2.1. 서비스탐색서버운용... 7 2.1.1. 서비스가이드서버실행... 7 2.1.2. 서비스가이드정보확인... 8 2.1.3. 서비스가이드정보추가... 9 2.1.4. 서비스가이드정보삭제...
More information1. 제품 개요 AhnLab Policy Center 4.6 for Windows(이하 TOE)는 관리대상 클라이언트 시스템에 설치된 안랩의 안티바이러스 제품인 V3 제품군에 대해 보안정책 설정 및 모니터링 등의 기능을 제공하여 관리대상 클라이언트 시스템에 설치된 V3
CR-15-59 AhnLab Policy Center 4.6 for Windows 인증보고서 인증번호 : ISIS-0631-2015 2015년 7월 IT보안인증사무국 1. 제품 개요 AhnLab Policy Center 4.6 for Windows(이하 TOE)는 관리대상 클라이언트 시스템에 설치된 안랩의 안티바이러스 제품인 V3 제품군에 대해 보안정책 설정
More information유포지탐지동향
월간악성코드은닉사이트탐지 동향보고서 (7 월 ) 2014. 08. 침해사고대응단 인터넷침해대응본부 < 목차 > 1. 악성코드은닉동향요약 1 2. 홈페이지은닉형악성코드통계 2 - 유포지탐지현황 2 - 대량경유지가탐지된유포지 TOP10 3 - 악성코드유형별비율 4 - 악성코드취약점유형별비율 4 - 악성코드수집및분석결과 5 - 경유지탐지 업종별비율 13 3. 악성코드은닉사례분석
More informationASEC Report
1. 악성코드 파워포읶트제로데이관련취약점과또다른 Conficker 웜변형... 2 2. 스파이웨어 Zlob 방식으로배포되는국내애드웨어... 6 3. 시큐리티 PPT 0 day 취약점 (CVE-2009-0556)... 12 4. 중국보안이슈 중국의정보보안관련법... 16 Ineternet Explorer 8.0 의편리함과보안위협... 18 1. 악성코드...
More informationBEA_WebLogic.hwp
BEA WebLogic Server SSL 설정방법 - Ver 1.0-2008. 6 개정이력 버전개정일개정내용 Ver 1.0 2008 년 6 월 BEA WebLogic Server SSL 설명서최초작성 본문서는정보통신부 한국정보보호진흥원의 보안서버구축가이드 를참고하여작성되었습니다. 본문서내용의무단도용및사용을금합니다. < 목차 > 1. 개인키및 CSR 생성방법
More information1) 인증서만들기 ssl]# cat >www.ucert.co.kr.pem // 설명 : 발급받은인증서 / 개인키파일을한파일로저장합니다. ( 저장방법 : cat [ 개인키
Lighttpd ( 단일도메인 ) SSL 인증서신규설치가이드. [ 고객센터 ] 한국기업보안. 유서트기술팀 1) 인증서만들기 [root@localhost ssl]# cat www.ucert.co.kr.key www.ucert.co.kr.crt >www.ucert.co.kr.pem // 설명 : 발급받은인증서 / 개인키파일을한파일로저장합니다. ( 저장방법 : cat
More informationHLS(HTTP Live Streaming) 이용가이드 1. HLS 소개 Apple iphone, ipad, ipod의운영체제인 ios에서사용하는표준 HTTP 기반스트리밍프로토콜입니다. 2. HLS 지원대상 - 디바이스 : iphone/ipad/ipod - 운영체제 :
HLS(HTTP Live Streaming) 이용가이드 1. HLS 소개 Apple iphone, ipad, ipod의운영체제인 ios에서사용하는표준 HTTP 기반스트리밍프로토콜입니다. 2. HLS 지원대상 - 디바이스 : iphone/ipad/ipod - 운영체제 : ios 3.0 이상 - 콘텐츠형식 : MP4 (H264,AAC ), MP3 * 디바이스별해상도,
More informationASEC REPORT VOL.76 April, 2016 ASEC(AhnLab Security Emergency response Center) 은악성코드및보안위협으로부터고객을안전하게지키기위하여보안전문가로구성된 글로벌보안조직입니다. 이리포트는주식회사안랩의 ASEC 에서작성
Security Trend ASEC REPORT VOL.76 April, 2016 ASEC REPORT VOL.76 April, 2016 ASEC(AhnLab Security Emergency response Center) 은악성코드및보안위협으로부터고객을안전하게지키기위하여보안전문가로구성된 글로벌보안조직입니다. 이리포트는주식회사안랩의 ASEC 에서작성하며, 매월발생한주요보안위협과이슈에대응하는최신보안기술에대한요약정
More informationMicrosoft PowerPoint - chap01-C언어개요.pptx
#include int main(void) { int num; printf( Please enter an integer: "); scanf("%d", &num); if ( num < 0 ) printf("is negative.\n"); printf("num = %d\n", num); return 0; } 1 학습목표 프로그래밍의 기본 개념을
More informationStuduino소프트웨어 설치
Studuino 프로그래밍환경 Studuino 소프트웨어설치 본자료는 Studuino 프로그래밍환경설치안내서입니다. Studuino 프로그래밍 환경의갱신에따라추가 / 수정될수있습니다. 목차 1. 소개... 1 2. Windows... 2 2.1. 프로그래밍환경설치... 2 2.1.1. 웹설치버전설치방법... 2 2.2. Studuino 프로그래밍환경실행...
More information< 목차 > 1. 악성코드은닉동향요약 1 2. 홈페이지은닉형악성코드통계 2 - 유포지탐지현황 2 - 대량경유지가탐지된유포지 TOP 악성코드유형별비율 4 - 악성코드취약점유형별비율 4 - 악성코드수집및분석결과 5 - 경유지탐지 업종별비율 악성코드은닉
월간악성코드은닉사이트탐지 동향보고서 (2 월 ) 2014. 03. 침해사고대응단 인터넷침해대응본부 < 목차 > 1. 악성코드은닉동향요약 1 2. 홈페이지은닉형악성코드통계 2 - 유포지탐지현황 2 - 대량경유지가탐지된유포지 TOP10 3 - 악성코드유형별비율 4 - 악성코드취약점유형별비율 4 - 악성코드수집및분석결과 5 - 경유지탐지 업종별비율 15 3. 악성코드은닉사례분석
More informationPowerPoint 프레젠테이션
BOOTLOADER Jo, Heeseung 부트로더컴파일 부트로더소스복사및압축해제 부트로더소스는웹페이지에서다운로드 /working 디렉터리로이동한후, wget으로다운로드 이후작업은모두 /working 디렉터리에서진행 root@ubuntu:# cp /media/sm5-linux-111031/source/platform/uboot-s4210.tar.bz2 /working
More informationvRealize Automation용 VMware Remote Console - VMware
vrealize Automation 용 VMware Remote Console VMware Remote Console 9.0 이문서는새버전으로교체되기전까지나열된각제품버전및모든이후버전을지원합니다. 이문서에대한최신버전을확인하려면 http://www.vmware.com/kr/support/pubs 를참조하십시오. KO-002230-00 vrealize Automation
More informationMicrosoft PowerPoint - chap02-C프로그램시작하기.pptx
#include int main(void) { int num; printf( Please enter an integer "); scanf("%d", &num); if ( num < 0 ) printf("is negative.\n"); printf("num = %d\n", num); return 0; } 1 학습목표 을 작성하면서 C 프로그램의
More informationXSS Attack - Real-World XSS Attacks, Chaining XSS and Other Attacks, Payloads for XSS Attacks
XSS s XSS, s, May 25, 2010 XSS s 1 2 s 3 XSS s MySpace 사건. Samy (JS.Spacehero) 프로필 페이지에 자바스크립트 삽입. 스크립트 동작방식 방문자를 친구로 추가. 방문자의 프로필에 자바스크립트를 복사. 1시간 만에 백만 명이 친구등록. s XSS s 위험도가 낮은 xss 취약점을 다른 취약점과 연계하여
More informationDisclosure to or reproduction for others without the specific written authorization of AhnLab is prohibited. Copyright (c) AhnLab, Inc. All rights res
Disclosure to or reproduction for others without the specific written authorization of AhnLab is prohibited. Copyright (c) AhnLab, Inc. All rights reserved. ASEC REPORT VOL.21 211.1 안철수연구소월간보안보고서 이달의보안동향
More information< 목차 > Ⅰ. 개요 3 Ⅱ. 실시간스팸차단리스트 (RBL) ( 간편설정 ) 4 1. 메일서버 (Exchange Server 2007) 설정변경 4 2. 스팸차단테스트 10
(https://www.kisarbl.or.kr) < 목차 > Ⅰ. 개요 3 Ⅱ. 실시간스팸차단리스트 (RBL) ( 간편설정 ) 4 1. 메일서버 (Exchange Server 2007) 설정변경 4 2. 스팸차단테스트 10 Ⅰ. 개요 실시간스팸차단리스트 (RBL) 는메일서버를운영하는누구나손쉽게효과적으로스팸수신을차단하는데이용할수있도록한국인터넷진흥원 (KISA)
More information